Chris Vickery a découvert la base de données en ligne en recherchant des bases de données ouvertes sur le moteur de recherche informatique Shodan. Tout d'abord, il a découvert quatre adresses IP qui l'ont conduit à une base de données MongoDB, et il a finalement trouvé les données MacKeeper contenant adresses IP, licences de logiciels et codes d'activation des utilisateurs, ainsi que les mots de passe hachés, les noms, les numéros et les adresses e-mail adresses.
Vidéos recommandées
C'est en fait assez courant pour trouver des bases de données MongoDB ouvertes en ligne. Cependant, on ne sait pas exactement combien de temps la base de données MacKeeper est restée ouverte. Selon Brian Krebs
, MacKeeper a déclaré que sa base de données était restée ouverte pendant environ une semaine en raison d'une mauvaise configuration du serveur, mais Vickery souligne que la base de données qu'il a trouvée datait de la mi-novembre.Le plus frappant est que les mots de passe de la base de données n'étaient protégés qu'avec l'algorithme de hachage MD5, qui a été décrié dans le passé par son propre créateur comme médiocre et n'est plus sécurisé. Il y a même Outils de craquage MD5 disponibles en ligne, qui ne sont pas difficiles à trouver. MacKeeper a dit Forbes qu'il est actuellement en train de mettre à jour l'algorithme de hachage SHA512.
Vickery affirme qu'il n'a pas pu joindre Kromtech, la société derrière MacKeeper, pour l'avertir des failles. est allé sur Reddit rendre publique sa découverte dans l’espoir d’attirer l’attention de l’entreprise.
Kromtech a depuis répondu à Vickery et l'a remercié pour sa révélation. La société a déclaré que la vulnérabilité avait désormais été corrigée et qu'elle procéderait à un examen interne.
«Nous avons corrigé cette erreur quelques heures après la découverte. L'analyse de notre système de stockage de données montre qu'une seule personne a pu y accéder… le chercheur en sécurité lui-même », a déclaré Kromtech. "Nous avons été en communication avec Chris et il n'a pas partagé ni utilisé les données de manière inappropriée."
Il semble donc que Vickery soit la seule personne au courant de cette fuite potentielle de données client, et aucun acteur malveillant n’a eu accès à la base de données.
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde en évolution rapide de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.
