Kromtech, l’éditeur de la solution de sécurité MacKeeper a été pointé du doigt par un chercheur en sécurité ayant découvert qu’un accès à une base de données contenant 13 millions de clients était exposée à un accès extérieur. La faille a été rapidement corrigée après l’alerte.
MacKeeper est probablement l’un des antivirus les plus connus pour les utilisateurs de Mac, mais pas toujours pour de bonnes raisons (publicités agressives, signalement de problèmes ne pouvant être réparés que par la version payante, etc, …). Il s’agit indéniablement d’un marché assez spécifique dans la mesure où les menaces contre OS X ne sont pas encore aussi nombreuses que Windows, mais néanmoins en constante augmentation.
Un chercheur en sécurité lance l’alerte
Comme tous les éditeurs proposant des produits commerciaux, Kromtech dispose d’une base de données contenant les traces des achats de ses clients. Or, il s’avère que cette base de données était potentiellement accessible depuis l’extérieur, comme a pu le démontrer le chercheur en sécurité Chris Vickery, qui indique être tombé dessus « par hasard » en cherchant, dans le moteur spécialisé Shodan, des objets connectés reliés à Internet, en scannant des plages d’adresses IP.
Ce dernier a donc atterrie chez Kromtech, et a pu facilement établir une connexion à une base de données créée sous MongoDB et contenant pas moins de 13 millions de références clients, contenant les noms, adresses mail, noms d’utilisateurs, mots de passe hachés (MD5 sans salt ?), adresses IP, numéros de téléphone, renseignements techniques sur la machine faisant fonctionner MacKeeper, informations sur les licences et codes d’activation. Au total, 21 Go de données étaient présentes.
Tout se fini bien pour MacKeeper
La base de données contenait donc des informations critiques mais ne réclamait aucun identifiant de connexion. Kromtech a été rapidement averti et la réaction ne s’est pas faite attendre et la base a été sécurisée. Après analyse interne, l’éditeur de MacKeeper indique que les clients ne sont pas en danger étant donné que la connexion de Chris Vickery semble être la seule à être venue de l’extérieur et que les informations bancaires sont stockées ailleurs, dans un endroit non accessible depuis Internet. Ouf !
La société indique ainsi dans un communiqué :
« Nous sommes reconnaissants envers le chercheur en sécurité Chris Vickery, qui a identifié le problème sans révéler d’informations techniques de manière publique. Nous avons corrigé l’erreur dans les heures qui ont suivi la découverte. Notre analyse du système de stockage des données montre qu’un seul individu a obtenu l’accès, le chercheur lui-même. Nous avons été en contact avec Chris et il n’a pas partagé ou utilisé ces données de manière inappropriée ».
Source : NextInpact
Les commentaires sont fermés.