Les fabricants de MacKeeper – une très décrié utilitaire logiciel que beaucoup considèrent comme un peu plus que scareware qui cible les utilisateurs de Mac – ont reconnu une violation qui a exposé les noms d’utilisateur, les mots de passe et d’autres informations sur plus de 13 millions de clients et, euh… d’utilisateurs. Peut-être plus intéressant encore, le gars qui a trouvé et signalé la violation ne possède même pas de Mac et a découvert le trésor de données simplement en naviguant Shodan — un moteur de recherche spécialisé qui recherche et indexe pratiquement tout ce qui est connecté à Internet.
Homme d’assistance informatique le jour et chercheur en sécurité la nuit, 31 ans Chris Vickery a déclaré avoir découvert le trésor de 21 Go de données utilisateur MacKeeper après avoir passé quelques moments ennuyés à rechercher des serveurs de base de données qui ne nécessitent aucune authentification et sont ouverts aux connexions externes.
Vickery a dit à Shodan de trouver toutes les instances connues de serveurs de base de données écoutant les connexions entrantes sur le port 27017. Les «ports» sont comme des portes qui régissent l’accès à des zones spécifiques d’un serveur, et chaque numéro de port correspond généralement à un ou une poignée de applications et services Web connus. Le port 27017 est associé à MongoDBun système de gestion de base de données populaire.
En peu de temps, la demande de Vickery a révélé quatre adresses Internet différentes, dont il a appris plus tard qu’elles appartenaient toutes à Kromtechla société qui fabrique MacKeeper.
« Il y a beaucoup de choses intéressantes, éducatives et intrigantes que vous pouvez trouver sur Shodan », a déclaré Vickery. « Mais il y a beaucoup de choses qui ne devraient certainement pas être là-bas, et quand je les rencontre, j’essaie d’informer le propriétaire de la base de données concernée. »
Vickery a déclaré avoir contacté la société, qui a réagi rapidement en fermant l’accès public à sa base de données d’utilisateurs et en le remerciant publiquement de l’avoir signalé.
« Quelque 13 millions de dossiers de clients divulgués sont conscients d’une vulnérabilité potentielle dans l’accès à notre système de stockage de données et nous sommes reconnaissants au chercheur en sécurité Chris Vickery qui a identifié ce problème sans divulguer aucun détail technique à usage public », a déclaré la société. dans un rapport publié aujourd’hui sur son site. « Nous avons corrigé cette erreur dans les heures suivant la découverte. L’analyse de notre système de stockage de données montre qu’un seul individu a obtenu un accès effectué par le chercheur en sécurité lui-même. Nous avons été en communication avec Chris et il n’a pas partagé ou utilisé les données de manière inappropriée.
Kromtech a déclaré que toutes les informations de carte de crédit et de paiement des clients sont traitées par un marchand tiers et n’ont jamais été en danger.
« Les informations de facturation ne sont ni transmises ni stockées sur aucun de nos serveurs. Nous ne collectons aucune information personnelle sensible de nos clients », poursuit le communiqué. « Les seules informations client que nous conservons sont le nom, les produits commandés, les informations de licence, l’adresse IP publique et leurs informations d’identification d’utilisateur telles que les noms d’utilisateur spécifiques au produit, les hachages de mot de passe pour le compte d’administrateur Web du client où ils peuvent gérer les abonnements, le support et les licences de produit. »
Vickery a déclaré que Kromtech lui avait dit que sa base de données avait été exposée par inadvertance à la suite d’une mauvaise configuration du serveur introduite la semaine dernière. Mais Vickery a déclaré qu’il doutait que ce soit le cas, car certains des enregistrements Shodan qu’il a trouvés et qui pointaient vers la base de données de Kromtech étaient datés de la mi-novembre 2015.
« Le plus drôle, c’est que je ne possède même pas de Mac et que je n’avais jamais entendu parler de MacKeeper jusqu’à hier soir », a déclaré Vickery. « Je ne savais pas qu’il s’agissait d’un scareware ou d’un logiciel frauduleux qui s’imposait aux gens. L’ironie ici est assez épaisse.
Vickery a déclaré qu’il était capable de se connecter à la base de données que Shodan lui avait trouvée simplement en coupant et en collant les informations dans un outil commercial conçu pour parcourir les bases de données Mongo. Lorsqu’on lui a demandé s’il craignait qu’une organisation désemparée ou un procureur trop zélé ne le poursuive pour piratage informatique, Vickery a répondu qu’il n’était pas inquiet (pour le contexte, voir la controverse sur les affaires insensées intentées contre des chercheurs sous le Loi sur la fraude et les abus informatiques).
« C’est une préoccupation, mais j’ai fait la paix avec cela et vous ne pouvez pas vivre votre vie dans la peur », a-t-il déclaré. « Je suis assez confiant que si vous configurez un serveur pour un accès public – sans authentification – et qu’il est accessible publiquement, ce n’est pas un crime. »
J’admire le courage et l’approche directe de Vickery, et son histoire est un bon rappel de l’importance pour les organisations d’utiliser toutes les ressources à leur disposition pour trouver des cas d’accès public à des données sensibles ou exclusives qui ne devraient pas être publiques. Pensez à prendre le temps d’apprendre à utiliser Shodan (c’est en fait assez intuitif, mais certaines données peuvent n’être disponibles que pour les abonnés payants) ; utilisez-le pour voir si votre organisation a inutilement exposé des bases de données, des périphériques réseau, des caméras de sécurité et d’autres périphériques « Internet des objets ».
Enfin, si vous êtes un client MacKeeper et que vous avez réutilisé votre mot de passe utilisateur MacKeeper sur d’autres sites, il est maintenant temps de changer ce mot de passe sur les autres sites — et ne pas juste à votre nouveau mot de passe MacKeeper ! Pour plus de choses à faire et à ne pas faire avec les mots de passe, consultez cet abécédaire.