Kromtech denna veckan avslöjade en sårbarhet i datalagring, system för sin MacKeeper programvara.
Säkerhet forskaren Chris Vickery, som larmade företaget till problem med sin server, knuten antalet MacKeeper användare som påverkas på cirka 13 miljoner i ett inlägg på Reddit.
Kromtech publicerat en säkerhetsvarning om brott MacKeeper s webbplats.
Företaget åtgärdat fel i data storage system inom några timmar av sin upptäckt, det sade.
Överträdelsen inte äventyra mycket känsliga uppgifter om sina kunder, Kromtech sagt. Kreditkort och betalningsinformation hanteras av en tredje part, och företagets servrar du får inte överföra eller lagra faktureringsinformation.
Casual Upptäckt
När du använder en sökmotor som kallas Shodan för att hitta servrar som kräver ingen autentisering och var öppna för externa anslutningar, vissa Internet-adresser som tillhör Kromtech fångas Vickery öga. När han tittade på dem, han upptäckte att han kunde få tillgång till en databas för Kromtech 13 miljoner användare.
Kromtech butiker i databasen användarnas namn, beställda produkter, licensinformation och offentliga IP-adresser, sägs det.
Dessutom lagrar användarens autentiseringsuppgifter som produkt-specifika användarnamn och lösenord hash-värden för kunders Webb-konton som de förvaltar sina abonnemang, support och produkt-licenser.
Fel av Deras Sätt
Kromtech gjort minst tre säkerhet fel att sätta sina kunders personliga information på risk, Kunal Rupani, huvudsakliga produktchef för
Accellion, berättade TechNewsWorld:
- Det är inte skydda tillgång till sin kunddatabas med ett användarnamn och lösenord.
- Det gjorde inte de IP-adresser som leder till databasen privata så att de inte skulle dyka upp i sökmotorer som Shodan.
- Det används en svag hash-algoritm, MD5, för att skydda lösenord i databasen.
“MD5 är inte den säkraste formen av skydd av lösenord,” sade Chris Ensey, chief operating officer,
Dunbar It-Säkerhet.
“Det är ofta trasig”, sa han till TechNewsWorld. “Det är en algoritm som används för att dölja men inte fullt kryptera lösenord.”
Dessutom, på grund av brister i hur MD5 krypterar lösenorden, hackare har utvecklat listor över översättningar av MD5-hashar. Dessa översättningar lista MD5-hashar och vanligt lösenord som de representerar.
“Så att du kan använda ett verktyg för att bryta MD5-hashar eller jämföra dem med redan kända hashes,” Ensey förklaras.
Dags för Hackare att Agera
Kromtech var medveten om svagheterna med MD5 och är beredda att ändra hur det hashas lösenord innan Vickery anmält det i sin databas sårbarhet, Kromtech talesman Bob Diachenko sagt.
“Under de senaste två dagarna har vi genomfört en omfattande intern granskning och [är] att överväga andra alternativ, som Blowfish,” han berättade TechNewsWorld.
Vickery var den enda utomstående att komma åt sitt kundregister innan bolaget stängde säkerhetslucka han kommit till dess kännedom, Kromtech sagt.
“Jag tror inte att de kan bevisa att utan en skugga av ett tvivel, att” Dunbar Ensey sagt.
Och medan Kromtech stängt den säkerhetslucka Vickery identifieras snabbt, det var fortfarande gott om tid för inkräktare att använda deras egna initiativ att agera.
“Även om Chris Vickery var bra om inte publicera detaljer om hur att få tillgång till databasen, det är fullt möjligt att hackare kunde ha räknat ut det när de visste att databasen var det,” sade Thomas Reed, chef för Mac erbjudanden på
Malwarebytes.
“Databasen var inte säkrad för minst sex timmar efter Vickery försökte först få Kromtech uppmärksamhet”, sade han TechNewsWorld.
Rad Felsteg
Dessutom databasen kan ha varit utsatta för Net marodörer längre än Kromtech skulle vilja allmänheten att tro.
Kromtech berättade Vickery säkerhet klyfta skapades när företaget omstruktureras sina servrar i förra veckan, sade han i en intervju med säkerhet bloggare Brian Krebs. Några av de Shodan sökresultaten pekar till databasen dateras till mitten av November.
“Detta brott är bara det senaste i en rad felsteg av Kromtech och deras föregångare, ZeoBIT,” Reed sade.
“Tidigare i år, hackare drivit skadlig kod som drog fördel av en MacKeeper sårbarhet för att installera tyst på vissa Mac-datorer med MacKeeper installerat,” konstaterade han.
“Sedan är det frågan om MacKeeper pålitlighet, vilket är mycket lågt, och har inte en utan två grupptalan påstådda bedrägerier, av vilka den ena var fast i förmån för käranden,” tillade han.
Råd för alla Användare
I ljuset av den säkerhetslucka Vickery upptäckte, MacKeeper användare bör ändra sitt lösenord som en försiktighetsåtgärd.
“Om de använder samma lösenord på andra konton, de borde ändra på dem också, med ett annat lösenord än det de är använda med Kromtech,” Malwarebytes’ Reed rekommenderas.
Användarna bör också hålla dig uppdaterad med MacKeeper uppdateringar och vara försiktig med all kommunikation från företaget, Ensey sagt.
“Du behöver för att utvärdera huruvida någon kontakt och kommunikation från MacKeeper är äkta,” sade han. “Man måste vara misstänksam mot dem som e-post och se till att de är inte en bluff eller parodi.”
