Chris Vickery는 컴퓨터 검색 엔진 Shodan에서 공개 데이터베이스를 검색하여 온라인에서 데이터베이스를 발견했습니다. 먼저 그는 MongoDB 데이터베이스로 연결되는 4개의 IP 주소를 발견했고 궁극적으로 MacKeeper 데이터 기능을 발견했습니다. 사용자의 IP 주소, 소프트웨어 라이선스, 활성화 코드와 함께 해시된 비밀번호, 이름, 번호, 이메일 구애.
추천 동영상
그것은 실제로는 꽤 흔한 공개 MongoDB 데이터베이스를 온라인으로 찾으려면 그러나 MacKeeper 데이터베이스가 얼마나 오랫동안 열려 있었는지는 불분명합니다. 에 따르면 브라이언 크렙스, MacKeeper는 서버 구성 오류로 인해 데이터베이스가 약 일주일 동안 열려 있다고 말했지만 Vickery는 그가 마지막으로 찾은 데이터베이스가 11월 중순 경이라고 지적했습니다.
가장 놀라운 점은 데이터베이스의 비밀번호가 해싱 알고리즘 MD5로만 보호된다는 점입니다. 과거에 비난했다 자체 작성자에 의해 수준 이하이며 더 이상 안전하지 않습니다. 심지어 있다 MD5 크래킹 도구 온라인에서 구할 수 있으며 찾기가 어렵지 않습니다. 맥키퍼는 말했다 포브스 현재 SHA512 해싱 알고리즘으로 업데이트 중입니다.
Vickery는 MacKeeper의 배후 회사인 Kromtech에 연락하여 결함을 알릴 수 없었다고 주장합니다. Reddit에 올렸습니다 회사의 관심을 끌기 위해 자신의 발견을 공개하기 위해.
Kromtech는 이후 이에 응답했습니다. Vickery에게 자신의 공개에 대해 감사를 표했습니다. 회사는 현재 취약점이 패치되었으며 내부 검토를 실시할 것이라고 밝혔습니다.
“우리는 발견 후 몇 시간 내에 이 오류를 수정했습니다. 우리의 데이터 스토리지 시스템을 분석한 결과 단 한 명의 개인, 즉 보안 연구원 자신만이 액세스 권한을 얻은 것으로 나타났습니다.”라고 Kromtech는 말했습니다. “우리는 크리스와 소통해 왔으며 그는 데이터를 부적절하게 공유하거나 사용하지 않았습니다.”
따라서 Vickery는 이러한 고객 데이터 유출 가능성을 인지한 유일한 사람으로 보이며 악의적인 행위자는 데이터베이스에 액세스하지 못했습니다.
당신의 라이프스타일을 업그레이드하세요Digital Trends는 독자들이 모든 최신 뉴스, 재미있는 제품 리뷰, 통찰력 있는 사설 및 독특한 미리보기를 통해 빠르게 변화하는 기술 세계를 계속 확인할 수 있도록 도와줍니다.
