כריס ויקרי גילה את מסד הנתונים באינטרנט על ידי חיפוש מאגרי מידע פתוחים במנוע החיפוש של המחשב Shodan. ראשית, הוא גילה ארבע כתובות IP שהובילו אותו למסד נתונים של MongoDB, ובסופו של דבר הוא מצא את נתוני MacKeeper הכוללים כתובות ה-IP של המשתמשים, רישיונות התוכנה וקודי ההפעלה יחד עם הסיסמאות, השמות, המספרים והדוא"ל הגיבובים כתובות.
סרטונים מומלצים
זה למעשה די נפוץ כדי למצוא מאגרי מידע פתוחים של MongoDB באינטרנט. עם זאת עדיין לא ברור כמה זמן מסד הנתונים של MacKeeper נותר פתוח. לפי בריאן קרבס, MacKeeper אמר כי מסד הנתונים שלה נותר פתוח במשך כשבוע עקב תצורה שגויה של השרת, אך Vickery מציין כי מסד הנתונים שמצא היה תאריך אחרון בסביבות אמצע נובמבר.
הדבר המרשים ביותר, הסיסמאות במסד הנתונים היו מוגנות רק באמצעות אלגוריתם הגיבוב MD5, אשר הוגן גזר בעבר על ידי היוצר שלו כחלק משנה ואינו מאובטח עוד. יש אפילו
כלי פיצוח MD5 זמין באינטרנט, אשר לא קשה למצוא. אמר מקיפר פורבס שהיא מתעדכנת כרגע לאלגוריתם הגיבוב SHA512.ויקרי טוען שהוא לא הצליח להגיע ל-Kromtech, החברה שמאחורי MacKeeper, להתריע בפניה על הפגמים, אז הוא לקח ל-Reddit לפרסם את התגלית שלו בתקווה למשוך את תשומת הלב של החברה.
Kromtech הגיבה מאז לויקרי והודה לו על חשיפתו. החברה אמרה כי הפגיעות תוקנה כעת והיא תבצע בדיקה פנימית.
"תיקנו את השגיאה תוך שעות מרגע הגילוי. ניתוח של מערכת אחסון הנתונים שלנו מראה שרק אדם אחד השיג גישה... חוקר האבטחה עצמו", אמר קרומטק. "היינו בקשר עם כריס והוא לא שיתף או השתמש בנתונים באופן בלתי הולם."
אז נראה שויקרי הוא האדם היחיד שהיה מודע לדליפה הפוטנציאלית הזו של נתוני לקוחות, ואף שחקן זדוני לא השיג גישה למסד הנתונים.
שדרג את אורח החיים שלךמגמות דיגיטליות עוזרות לקוראים לעקוב אחר עולם הטכנולוגיה המהיר עם כל החדשות האחרונות, ביקורות מהנות על מוצרים, מאמרי מערכת מעוררי תובנות והצצות מיוחדות במינן.