Chris Vickery upptäckte databasen online genom att söka efter öppna databaser på datorsökmotorn Shodan. Först upptäckte han fyra IP-adresser som ledde honom till en MongoDB-databas, och han hittade till slut MacKeeper-data med användarnas IP-adresser, programvarulicenser och aktiveringskoder tillsammans med hashade lösenord, namn, nummer och e-post adresser.
Rekommenderade videor
Det är faktiskt ganska vanligt för att hitta öppna MongoDB-databaser online. Det är dock fortfarande oklart hur länge MacKeeper-databasen lämnades öppen. Enligt Brian Krebs, sa MacKeeper att dess databas lämnades öppen i ungefär en vecka på grund av en serverfelkonfiguration, men Vickery påpekar att databasen han hittade var senast daterad runt mitten av november.
Mest slående är att lösenorden i databasen endast skyddades med hashalgoritmen MD5, som har varit
Vickery hävdar att han inte kunde nå Kromtech, företaget bakom MacKeeper, för att varna det om bristerna, så han tog till Reddit att göra sin upptäckt offentlig i hopp om att fånga företagets uppmärksamhet.
Kromtech har sedan dess svarat till Vickery och tackade honom för hans avslöjande. Företaget sa att sårbarheten nu har åtgärdats och att den kommer att genomföra en intern granskning.
"Vi fixade det här felet inom några timmar efter upptäckten. Analyser av vårt datalagringssystem visar att endast en person fick tillgång … säkerhetsforskaren själv, säger Kromtech. "Vi har varit i kommunikation med Chris och han har inte delat eller använt uppgifterna på ett olämpligt sätt."
Så det verkar som att Vickery är den enda personen som var medveten om detta potentiella läckage av kunddata, och ingen illvillig aktör fick tillgång till databasen.
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
