Chris Vickery descubrió la base de datos en línea buscando bases de datos abiertas en el motor de búsqueda informático Shodan. Primero, descubrió cuatro direcciones IP que lo llevaron a una base de datos MongoDB y, finalmente, encontró los datos de MacKeeper que presentaban Direcciones IP de los usuarios, licencias de software y códigos de activación junto con las contraseñas, nombres, números y correos electrónicos cifrados. direcciones.
Vídeos recomendados
Es en realidad bastante común para encontrar bases de datos abiertas de MongoDB en línea. Sin embargo, no está claro cuánto tiempo estuvo abierta la base de datos de MacKeeper. De acuerdo a Brian Krebs, MacKeeper dijo que su base de datos permaneció abierta durante aproximadamente una semana debido a una mala configuración del servidor, pero Vickery señala que la última base de datos que encontró tenía fecha de mediados de noviembre.
Lo más sorprendente es que las contraseñas de la base de datos estaban protegidas únicamente con el algoritmo hash MD5, que ha sido denunciado en el pasado por su propio creador como mediocre y ya no seguro. Incluso hay Herramientas de craqueo MD5 disponibles en línea, que no son difíciles de encontrar. MacKeeper dijo Forbes que actualmente se está actualizando al algoritmo hash SHA512.
Vickery afirma que no pudo comunicarse con Kromtech, la compañía detrás de MacKeeper, para alertarla sobre las fallas, por lo que llevado a Reddit hacer público su descubrimiento con la esperanza de captar la atención de la empresa.
Kromtech ha respondido desde entonces a Vickery y le agradeció su revelación. La empresa dijo que la vulnerabilidad ya ha sido reparada y que llevará a cabo una revisión interna.
“Solucionamos este error a las pocas horas del descubrimiento. El análisis de nuestro sistema de almacenamiento de datos muestra que sólo un individuo obtuvo acceso... el propio investigador de seguridad”, dijo Kromtech. "Hemos estado en comunicación con Chris y él no ha compartido ni utilizado los datos de manera inapropiada".
Entonces, parece que Vickery es la única persona que estaba al tanto de esta posible filtración de datos de clientes y ningún actor malintencionado obtuvo acceso a la base de datos.
Mejora tu estilo de vidaDigital Trends ayuda a los lectores a mantenerse al tanto del vertiginoso mundo de la tecnología con las últimas noticias, reseñas divertidas de productos, editoriales interesantes y adelantos únicos.
