Chris Vickery ha scoperto il database online cercando database aperti sul motore di ricerca Shodan. Innanzitutto, ha scoperto quattro indirizzi IP che lo hanno portato a un database MongoDB e alla fine ha trovato i dati di MacKeeper contenenti indirizzi IP, licenze software e codici di attivazione degli utenti insieme a password, nomi, numeri ed e-mail sottoposti ad hashing indirizzi.
Video consigliati
È in realtà abbastanza comune per trovare database MongoDB aperti online. Tuttavia non è chiaro per quanto tempo il database di MacKeeper sia rimasto aperto. Secondo Brian Krebs, MacKeeper ha affermato che il suo database è stato lasciato aperto per circa una settimana a causa di un'errata configurazione del server, ma Vickery sottolinea che la data dell'ultima volta che ha trovato il database era intorno alla metà di novembre.
La cosa più sorprendente è che le password nel database erano protette solo con l'algoritmo di hashing MD5, che è stato protetto denigrato in passato dal suo stesso creatore come scadente e non più sicuro. Ci sono anche Strumenti di cracking MD5 disponibili on-line, che non sono difficili da trovare. MacKeeper ha detto Forbes che è attualmente in fase di aggiornamento all'algoritmo di hashing SHA512.
Vickery afferma di non essere riuscito a contattare Kromtech, la società dietro MacKeeper, per avvisarla dei difetti, quindi ha sono andato su Reddit rendere pubblica la sua scoperta nella speranza di catturare l’attenzione dell’azienda.
Da allora Kromtech ha risposto a Vickery e lo ringraziò per la sua rivelazione. L'azienda ha affermato che la vulnerabilità è stata ora corretta e che effettuerà una revisione interna.
“Abbiamo corretto questo errore entro poche ore dalla scoperta. L’analisi del nostro sistema di archiviazione dei dati mostra che solo un individuo ha ottenuto l’accesso… lo stesso ricercatore di sicurezza”, ha affermato Kromtech. "Siamo stati in comunicazione con Chris e lui non ha condiviso o utilizzato i dati in modo inappropriato."
Sembra quindi che Vickery sia l'unica persona a conoscenza di questa potenziale fuga di dati dei clienti e che nessun malintenzionato abbia avuto accesso al database.
Migliora il tuo stile di vitaDigital Trends aiuta i lettori a tenere d'occhio il frenetico mondo della tecnologia con tutte le ultime notizie, divertenti recensioni di prodotti, editoriali approfonditi e anteprime uniche nel loro genere.
