MacKeeper が 1,300 万人の顧客のデータを公開
Reddit の投稿 で共有されたように、Chris Vickery ( Forbes 経由) は、データへのアクセスにユーザー名やパスワードを必要とせず、IP アドレスを入力するだけで記録をダウンロードできましたが、これは MacKeeper 側の重大なセキュリティ上の見落としでした。
MacKeeper はパスワードに MD5 ハッシュも使用していましたが、これは MD5 クラッキング ツールを使用すると簡単に回避されてしまう弱いアルゴリズムです。ヴィッカリー氏が言うように、MacKeeper(および親会社のクロムテック)は「ユーザーのデータのプライバシーや情報の完全性をまったく尊重していないようだ」。
ヴィッカリー氏はエクスプロイトの詳細については明らかにしなかったが、すぐにこの見落としについてクロムテックに連絡した。クロムテックはヴィッカリーの情報を使用して数時間後に データベースを保護し 、悪意を持った誰も顧客の詳細を入手できなかったと報告されています。エクスプロイトが修正されたので、Vickery 氏はデータにアクセスした方法を説明しました。
以下に詳細をいくつか示します (安全になったので): Shodan.io の検索エンジンは、公的にアクセス可能な MongoDB インスタンスを実行しているものとして IP をインデックスしていました (すでに推測している人もいます)。私は昨夜まで MacKeeper や Kromtech について聞いたこともありませんでした。退屈して Shodan で「port:27017」をランダムに検索したところ、偶然見つけました。
MacKeeper に馴染みのない人のために説明すると、MacKeeper は Mac を最適化し、ウイルスやマルウェアから安全に保つと称する Mac ソフトウェアであり、非現実的な主張で人々をだまして購入させます。今月初め、 集団訴訟 により200万ドルの和解が成立し、MacKeeperはソフトウェアを購入し返金を希望する顧客に返金を行うことになった。
MacKeeperは、この情報にアクセスしたのはVickery氏だけだとしているが、MacKeeperの顧客は依然として自分のパスワードと、MacKeeperのパスワードと同じパスワードを使用していたサイトのパスワードを変更する必要がある。
/cdn.vox-cdn.com/uploads/chorus_asset/file/23951391/STK088_VRG_Illo_N_Barclay_4_spotify.jpg?resize=1200,628&ssl=1 "Apple、Spotify が iPhone アプリで EU ユーザーに価格情報を表示することを許可")
