Ops: uma empresa de software de segurança deixou seu banco de dados desprotegido
Nomes, endereços de email e hashes de senhas de 13 milhões de usuários ficaram expostos
Ok, eis uma daquelas notícias inesperadas: a Kromtech, empresa que desenvolve o MacKeeper, software de otimização e segurança para OS X, deixou seu banco de dados aberto para qualquer pessoa mal-intencionada acessá-lo através de um IP desprotegido. A base, que contém informações como endereços de email e hashes de senhas, guarda dados de 13 milhões de usuários.
O MacKeeper aparece frequentemente em banners, pop-ups, vídeos no YouTube, buscas no Google, páginas no Facebook e cuecas de qualquer usuário de Mac. O software promete eliminar arquivos desnecessários, melhorar o desempenho da máquina, recuperar informações deletadas e criptografar dados importantes. Ele também possui um antivírus integrado para buscar malwares em partições do Windows e máquinas virtuais.
Mas, aparentemente, a empresa não estava seguindo recomendações de segurança básicas. O pesquisador Chris Vickery conta à Forbes que conseguiu acessar diretamente o banco de dados MongoDB da responsável pelo MacKeeper, obtendo informações como nomes de usuário, emails, hashes de senhas, números de telefone, endereços de IP, licenças de softwares e códigos de ativação.
Só o fato de deixar o banco de dados exposto na internet seria um problema gravíssimo, ainda mais para uma empresa que vende um software de segurança. Mas há outra vulnerabilidade: os hashes de senhas eram gravados em MD5, um algoritmo conhecido por ser fraco; sua utilização não é mais recomendada para armazenar senhas. E não havia nenhuma técnica para reforçar a segurança, como salting.
A Kromtech informou que está migrando de MD5 para SHA–512 e que a vulnerabilidade foi corrigida. No blog oficial, a empresa revela que apenas uma pessoa foi capaz de acessar indevidamente o banco de dados (o próprio pesquisador de segurança) e que as informações de pagamento dos clientes, como números de cartões de crédito, não estiveram em risco, por serem processadas por uma terceirizada.
Será que eles usam MacKeeper?