Chris Vickery descobriu o banco de dados online pesquisando por bancos de dados abertos no mecanismo de busca de computadores Shodan. Primeiro, ele descobriu quatro endereços IP que o levaram a um banco de dados MongoDB e, finalmente, encontrou os dados do MacKeeper apresentando endereços IP, licenças de software e códigos de ativação dos usuários, juntamente com senhas com hash, nomes, números e e-mail endereços.
Vídeos recomendados
Isso é na verdade bastante comum para encontrar bancos de dados MongoDB abertos online. No entanto, ainda não está claro por quanto tempo o banco de dados do MacKeeper permaneceu aberto. De acordo com Brian Krebs, o MacKeeper disse que seu banco de dados ficou aberto por cerca de uma semana devido a uma configuração incorreta do servidor, mas Vickery ressalta que o banco de dados que ele encontrou foi datado pela última vez em meados de novembro.
O mais surpreendente é que as senhas no banco de dados foram protegidas apenas com o algoritmo de hashing MD5, que foi criticado no passado por seu próprio criador como inferior e não mais seguro. Existem até Ferramentas de cracking MD5 disponíveis online, que não são difíceis de encontrar. MacKeeper disse Forbes que está atualmente atualizando para o algoritmo de hash SHA512.
Vickery afirma que não conseguiu entrar em contato com a Kromtech, a empresa por trás do MacKeeper, para alertá-la sobre as falhas, então ele levei para o Reddit para tornar pública sua descoberta na esperança de chamar a atenção da empresa.
Desde então, a Kromtech respondeu para Vickery e agradeceu por sua divulgação. A empresa disse que a vulnerabilidade já foi corrigida e que realizará uma revisão interna.
“Corrigimos esse erro poucas horas após a descoberta. A análise do nosso sistema de armazenamento de dados mostra que apenas um indivíduo obteve acesso… o próprio pesquisador de segurança”, disse Kromtech. “Estamos em comunicação com Chris e ele não compartilhou ou usou os dados de forma inadequada.”
Portanto, parece que Vickery é a única pessoa que estava ciente desse potencial vazamento de dados de clientes e nenhum agente mal-intencionado obteve acesso ao banco de dados.
Atualize seu estilo de vidaDigital Trends ajuda os leitores a manter o controle sobre o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais criteriosos e prévias únicas.
