Chris Vickery ontdekte de database online door te zoeken naar open databases op de computerzoekmachine Shodan. Eerst ontdekte hij vier IP-adressen die hem naar een MongoDB-database leidden, en uiteindelijk vond hij de MacKeeper-gegevens met IP-adressen, softwarelicenties en activeringscodes van gebruikers, samen met de gehashte wachtwoorden, namen, nummers en e-mail adressen.
Aanbevolen video's
Het is eigenlijk heel gebruikelijk om open MongoDB-databases online te vinden. Het blijft echter onduidelijk hoe lang de MacKeeper-database open is gebleven. Volgens Brian Krebs, zei MacKeeper dat de database ongeveer een week open was gebleven vanwege een verkeerde configuratie van de server, maar Vickery wijst erop dat de database die hij vond voor het laatst dateerde rond midden november.
Het meest opvallende was dat de wachtwoorden in de database alleen werden beschermd met het hash-algoritme MD5, wat ook het geval is geweest in het verleden afgekeurd door zijn eigen schepper als onvoldoende en niet langer veilig. Er zijn zelfs MD5-krakers online beschikbaar, die niet moeilijk te vinden zijn. MacKeeper vertelde het Forbes dat het momenteel wordt bijgewerkt naar het SHA512-hashing-algoritme.
Vickery beweert dat hij Kromtech, het bedrijf achter MacKeeper, niet kon bereiken om het bedrijf op de hoogte te stellen van de gebreken. naar Reddit gegaan om zijn ontdekking openbaar te maken in de hoop de aandacht van het bedrijf te trekken.
Kromtech heeft inmiddels gereageerd aan Vickery en bedankte hem voor zijn openbaarmaking. Het bedrijf zei dat de kwetsbaarheid nu is verholpen en dat het een interne beoordeling zal uitvoeren.
“We hebben deze fout binnen enkele uren na de ontdekking verholpen. Uit analyse van ons gegevensopslagsysteem blijkt dat slechts één persoon toegang heeft gekregen: de beveiligingsonderzoeker zelf”, aldus Kromtech. “We hebben met Chris gecommuniceerd en hij heeft de gegevens niet op ongepaste wijze gedeeld of gebruikt.”
Het lijkt er dus op dat Vickery de enige persoon is die op de hoogte was van dit potentiële lek van klantgegevens, en dat geen enkele kwaadwillende toegang heeft gekregen tot de database.
Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.
