Kromtech postou um alerta de segurança sobre a violação no site da MacKeeper.
A empresa corrigiu o erro em seu sistema de armazenamento de dados dentro das horas de sua descoberta, ele disse.
A violação não comprometer dados altamente sensíveis sobre seus clientes, disse Kromtech. Cartão de crédito e informações de pagamento é processada por um terceiro, e os servidores da empresa não transmitir ou armazenar informações de faturamento.
Descoberta Casual
Enquanto estiver usando um motor de busca chamado Shodan para encontrar servidores que não necessitam de autenticação e estavam abertas para conexões externas, alguns endereços da Internet pertencentes a Kromtech chamou a atenção de Vickery. Quando ele os levou, ele descobriu que poderia acessar um banco de dados para 13 milhões de usuários do Kromtech.
Lojas Kromtech nos nomes dos usuários de banco de dados, os produtos encomendados, informações de licença e endereços IP públicos, ele disse.
Ele também armazena as credenciais do usuário, tais como nomes de usuários específicos do produto e os hashes de senha para as contas dos clientes da Web a partir do qual eles gerenciam suas licenças de subscrições, suporte e produtos.
Erros de seus caminhos
Kromtech fez pelo menos três erros de segurança que colocam informações pessoais dos seus clientes em risco, Kunal Rupani, principal gerente de produto para Accellion, disse TechNewsWorld:
Não proteger o acesso ao seu banco de dados do cliente com um nome de usuário e senha.
Não fazia os endereços IP que conduzem ao banco de dados privado para que eles não iria aparecer nos motores de busca como Shodan.
É utilizado um algoritmo de hash fraco, MD5, para proteger senhas no banco de dados.
"MD5 não é a forma mais segura de senhas que protegem", disse Chris Ensey, diretor de operações da Dunbar Segurança Cibernética.
"É comumente quebradas", disse TechNewsWorld. "É um algoritmo que é usado para ofuscar, mas não totalmente criptografar senhas."
Além disso, por causa de deficiências na forma como MD5 embaralha as senhas, os hackers desenvolveram listas de traduções de hashes MD5. Essas traduções listar hashes MD5 e as senhas comuns que representam.
"Então, você pode usar uma ferramenta para quebrar a hashes MD5 ou compará-los a já conhecida hashes", explicou Ensey.
Tempo para Hackers to Act
Kromtech estava ciente dos pontos fracos do MD5 e preparado para mudar seu hash senhas antes Vickery notificado de sua vulnerabilidade banco de dados, disse o porta-voz Bob Kromtech Diachenko.
"Durante os últimos dois dias, implementamos uma revisão interna abrangente e [são] a considerar outras opções, como Blowfish", disse TechNewsWorld.
Vickery foi o único partido fora acessar seu banco de dados do cliente antes de a empresa fechou a brecha de segurança que ele trouxe à sua atenção, disse Kromtech.
"Eu não acho que eles podem provar que, sem sombra de dúvida", disse Ensey de Dunbar.
E enquanto Kromtech fechou a lacuna de segurança Vickery identificados rapidamente, ainda havia tempo de sobra para intrusos usando sua própria iniciativa para agir.
"Embora Chris Vickery era bom em não publicar detalhes sobre como acessar o banco de dados, que é inteiramente possível que hackers poderiam descobri-lo, uma vez que sabia que o banco de dados estava lá", disse Thomas Reed, diretor de ofertas de Mac no Malwarebytes.
"O banco de dados não foi assegurada por pelo menos seis horas após Vickery primeiro tentou obter a atenção de Kromtech", disse TechNewsWorld.
Série de erros
Além disso, o banco de dados podem ter sido expostos a saqueadores líquidas superiores a Kromtech gostaria que o público a acreditar.
Kromtech disse Vickery a lacuna de segurança foi criado quando a empresa reconfigurou seus servidores na semana passada, ele disse em uma entrevista com o blogueiro de segurança Brian Krebs. Alguns dos resultados de busca Shodan apontando para o banco de dados que remonta a meados de novembro.
"Esta violação é apenas o mais recente de uma série de erros por Kromtech e seu predecessor, ZeoBIT", disse Reed.
"No início deste ano, hackers empurrou malware que se aproveitou de uma vulnerabilidade MacKeeper para instalar silenciosamente em alguns Macs com MacKeeper instalado", observou ele.
"Depois, há a questão da confiabilidade de MacKeeper, que é muito baixa, e inclui não uma, mas duas ações judiciais coletivas alegando fraude, um dos quais foi resolvida em favor do requerente", acrescentou.
Conselhos para Usuários
À luz da lacuna de segurança Vickery descobriu, os usuários MacKeeper devem alterar suas senhas como medida de precaução.
"Se eles usam a mesma senha em outras contas, eles devem mudar aqueles também, usando uma senha diferente do que eles estão usando com Kromtech," Malwarebytes 'Reed recomendado.
Os usuários também devem ficar atualizado com as atualizações MacKeeper e desconfie de qualquer comunicação recebida da empresa, disse Ensey.
"Você precisa avaliar se deve ou não qualquer contato e comunicação da MacKeeper é autêntico", disse ele. "Você tem que ser desconfiado desses e-mails e certifique-se que eles não são uma farsa ou paródia."
