Chris Vickery menemukan database online dengan mencari database terbuka di mesin pencari komputer Shodan. Pertama, dia menemukan empat alamat IP yang membawanya ke database MongoDB, dan dia akhirnya menemukan data MacKeeper yang menampilkan alamat IP pengguna, lisensi perangkat lunak, dan kode aktivasi beserta kata sandi, nama, nomor, dan email yang di-hash alamat.
Video yang Direkomendasikan
Dia sebenarnya cukup umum untuk menemukan database MongoDB terbuka secara online. Namun masih belum jelas berapa lama database MacKeeper dibiarkan terbuka. Berdasarkan Brian Krebs, MacKeeper mengatakan database-nya dibiarkan terbuka selama sekitar satu minggu karena kesalahan konfigurasi server, namun Vickery menunjukkan bahwa database yang dia temukan terakhir kali bertanggal sekitar pertengahan November.
Yang paling mengejutkan, kata sandi dalam database hanya dilindungi dengan algoritma hashing MD5, yang telah dilindungi dikecam di masa lalu oleh penciptanya sendiri sebagai di bawah standar dan tidak lagi aman. Bahkan ada Alat cracking MD5 tersedia online, yang tidak sulit ditemukan. kata MacKeeper Forbes yang saat ini sedang diperbarui ke algoritma hashing SHA512.
Vickery mengklaim bahwa dia tidak dapat menghubungi Kromtech, perusahaan di belakang MacKeeper, untuk memberitahukan kelemahan tersebut, jadi dia dibawa ke Reddit untuk mempublikasikan penemuannya dengan harapan dapat menarik perhatian perusahaan.
Kromtech telah meresponsnya kepada Vickery dan berterima kasih atas pengungkapannya. Perusahaan tersebut mengatakan kerentanan tersebut kini telah diperbaiki dan akan melakukan tinjauan internal.
“Kami memperbaiki kesalahan ini dalam beberapa jam setelah penemuan. Analisis sistem penyimpanan data kami menunjukkan hanya satu individu yang memperoleh akses… yaitu peneliti keamanan itu sendiri,” kata Kromtech. “Kami telah berkomunikasi dengan Chris dan dia tidak membagikan atau menggunakan data tersebut secara tidak tepat.”
Jadi tampaknya Vickery adalah satu-satunya orang yang mengetahui potensi kebocoran data pelanggan ini, dan tidak ada pelaku jahat yang memperoleh akses ke database.
Tingkatkan gaya hidup AndaTren Digital membantu pembaca mengawasi dunia teknologi yang bergerak cepat dengan semua berita terkini, ulasan produk yang menyenangkan, editorial yang berwawasan luas, dan cuplikan unik.
