Разработчик утилиты MacKeeper допустил утечку персональных данных 13 млн пользователей компьютеров Apple Mac, сообщает Forbes со ссылкой на специалиста по компьютерной безопасности Криса Викери (Chris Vickery), который обнаружил находку.
Этими персональными данными являются имена пользователей Mac, их электронные адреса, логины, хэши паролей, номера телефонов, IP-адреса, информация о системе, лицензии на программное обеспечение и коды активации.
По словам эксперта, компания Kromtech Alliance, занимающаяся разработкой и поддержкой MacKeeper, оставила базу данных MongoDB с персональными данными пользователей своей утилиты на одном из своих серверов незащищенной. В результате доступ к ней можно было получить через внешнее соединение, всего лишь указав IP-адрес сервера. При этом ни логин, ни пароль вводить не требовалось.
Ситуация усугублена тем фактом, что MacKeeper использует для хранения паролей в базе данных алгоритм хэширования MD5. В интернете можно найти множество инструментов, позволяющих получить пароль обратно из имеющейся хэш-суммы. Они позволяют за секунды узнать несложные пароли к учетным записям.
Изначально попытка журналистов получить комментарии от Kromtech Alliance успехом не увенчалась. Позже, после того как информация об утечке была опубликована на сайте Reddit, разработчик самостоятельно вышел на связь и уведомил, что уже решил проблему неправильной конфигурации базы данных, из-за чего она была доступна. В компании добавили, что в настоящее время находятся на этапе внедрения более надежного алгоритма хэширования SHA512, но не уточнили, когда он будет запущен.
Стоит отметить, что утилита MacKeeper объединяет в себе функции антивируса и чистильщика от системного мусора. На официальном сайте приложения говорится, что оно является самым популярным в своем классе на платформе OS X, и что в общей сложности оно было загружено пользователями свыше 134 млн раз. Тем не менее, MacKeeper обладает дурной репутацией.
На интернет-форумах можно найти множество жалоб от владельцев компьютеров Apple, что реклама MacKeeper их докучает. Дело в том, что разработчики приобрели огромное количество показов объявлений — больше, чем кто-либо до этого.
Кроме того, множество жалоб касается поведения бесплатной версии MacKeeper, которая драматизирует проблемы с компьютером и заставляет испуганных пользователей обращаться к платной версии стоимостью $40, якобы способной все их решить.
В 2014 году в США в отношении украинской компании ZeoBIT, оригинального разработчика утилиты, по этому поводу был подан коллективный судебный иск с требованием компенсации $5 млн. Стоит также добавить, что уязвимость в некоторых версиях MacKeeper позволяет злоумышленникам исполнять на компьютере жертвы произвольный код с привилегиями администратора при посещении вредоносного сайта.
// Взято с http://www.cnews.ru.