セキュリティ研究者のクリス・ヴィッカリー氏は、1,300万件以上のMacKeeperアカウントの機密データにアクセスしたと主張している。このホワイトハット研究者は、悪評高いMacソフトウェアメーカーの極めて脆弱なセキュリティが原因で、データにアクセスできたと述べている。
Vickery、9to5Mac経由:
最近、MacKeeper、Zeobit、Kromtech に関連する 1,300 万件以上の機密アカウント詳細をダウンロードしました。 名前、電子メール アドレス、ユーザー名、パスワード ハッシュ、コンピューター名、IP アドレス、ソフトウェア ライセンスとアクティベーション コード、ハードウェアの種類 (例:「macbook pro」)、サブスクリプションの種類、電話番号、コンピューターのシリアル番号などです。
ヴィッカリー氏はこれまでにも、MLB、ATP、スリップノット、そしてカリフォルニア州のチャーターK-12スクール群で同様のデータ侵害を暴露してきた。同氏はRedditにフォルダ階層のスクリーンショット(上記参照)を投稿し、サーバーは完全に無防備だったと述べた。
この投稿をしてから 6 時間経ちますが (Apple のサブレディットのトップに掲載されています)、データベースは依然として完全に保護されていません […] ログインはまったく必要ありません。
ヴィッカリー氏はまた、パスワードは暗号化されていたものの、システムが使用していた暗号化方式は脆弱だったと指摘した。「ソルトなしのMD5…つまり非常に弱いハッシュ値だ」。同社がデータの安全を確保した後、どのようにして簡単にデータにアクセスできたのか、さらに詳しく説明するとしている。
(更新: 2015年12月1日) – MacKeeperはデータベースを保護し、誰もが知る限り、悪意のある人物がデータにアクセスしたことはありません。脆弱性が修正された今、Vickery氏はデータにアクセスした経緯を明らかにしました。
詳細は以下の通りです(今はセキュリティが確保されています)。Shodan.ioの検索エンジンは、これらのIPアドレスを公開アクセス可能なMongoDBインスタンスとしてインデックスしていました(既に推測されている方もいるでしょう)。私は昨夜までMacKeeperやKromtechについて聞いたこともありませんでした。たまたま暇だったので、Shodanで「port:27017」で検索してみたら、偶然見つかりました。
顧客情報が悪意のある人物の手に渡ったことはないようですが、MacKeeper の顧客は、MacKeeper サイト、および MacKeeper サイトと同じログインとパスワードを使用しているすべてのサイトで、ログインとパスワードを変更する必要があります。
