MacKeeper пришлось срочно блокировать около 13 млн пользовательских записей после того, как исследователь обнаружил открытую, публично доступную базу данных в ходе обычного поиска через Shodan.

Крис Викери (Chris Vickery) опубликовал информацию о находке на Reddit с целью привлечь к внимание представителей Kromtech — компании, владеющей MacKeeper, известным набором утилит для оптимизации и защиты Mac OS X. Kromtech в ответ заявила, что уже приняла меры для блокировки доступа к базе данных из Интернета.

«Спустя несколько часов после уведомления мы исправили ошибку. Анализ системы хранения данных показал, что лишь один пользователь смог получить доступ — сам исследователь, — отметили представители Kromtech в официальном заявлении. — Мы связались с Крисом, и он уверил нас в том, что ни с кем не делился данными и не использовал их ненадлежащим образом».

По словам Викери, он идентифицировал четыре IP-адреса, с которых возможен слив данных.

«Поиск через Shodan.io обнаружил, что на этих IP работают публично доступные приложения MongoDB (как можно было догадаться), — отметил исследователь. — Я на самом деле до вчерашнего дня не знал ничего о MacKeeper или Kromtech. Все получилось случайно: мне было скучно, и я решил задать совершенно произвольный поисковый запрос «port:27017″ на Shodan».

Shodan — поисковая система, предназначенная для выявления серверов, маршрутизаторов и других сетевых устройств, подключенных к Интернету. Ее пользователи, как исследователи, так и хакеры, могут фильтровать выдачу по названию производителя, функции или географическому расположению.

Согласно Викери, база данных, о которой идет речь, была сконфигурирована неверно, и доступ к ней можно было осуществить без пароля. Открытые данные включали имена клиентов, телефонные номера, email-адреса, никнеймы, хэши паролей, имена компьютеров и их серийные номера, IP-адреса, коды лицензий ПО и активации, типы устройств и информацию о подписке на MacKeeper.

В официальном заявлении представители MacKeeper также отметили, что платежные данные обрабатывались сторонним сервисом, не содержались в скомпрометированной базе данных и не хранились на серверах компании.

По свидетельству Викери, хэширование паролей осуществлялось при помощи устаревшего криптоалгоритма MD5 без использования «соли» — случайных данных, присутствие которых замедляет брутфорс-атаку.

В MacKeeper пообещали провести «всестороннее внутреннее расследование» инцидента и усилить меры безопасности. Однако найдется множество скептиков, которые подвергнут эти обещания сомнению. MacKeeper известен своими навязчивыми уведомлениями и рекламными предложениями «ускорить работу Mac». Многие пользователи, пожелавшие удалить MacKeeper с компьютера, обнаружили, что это не так-то просто: перемещением в «Корзину» дело не ограничивалось.

Это не первый крупный инцидент, произошедший с MacKeeper: в мае этого года компания закрыла уязвимость нулевого дня. Причиной уязвимости была ненадежная реализация механизма обработки URL. Чтобы воспользоваться этим багом и исполнить код на скомпрометированной машине, злоумышленнику нужно было всего лишь заманить аутентифицированного пользователя на сайт с эксплойтом.

Категории: Кибероборона, Уязвимости, Хакеры