Ops: uma empresa de software de segurança deixou seu banco de dados desprotegido

Nomes, endereços de email e hashes de senhas de 13 milhões de usuários ficaram expostos

Paulo Higa
• Atualizado há 8 meses
mackeeper

Ok, eis uma daquelas notícias inesperadas: a Kromtech, empresa que desenvolve o MacKeeper, software de otimização e segurança para OS X, deixou seu banco de dados aberto para qualquer pessoa mal-intencionada acessá-lo através de um IP desprotegido. A base, que contém informações como endereços de email e hashes de senhas, guarda dados de 13 milhões de usuários.

O MacKeeper aparece frequentemente em banners, pop-ups, vídeos no YouTube, buscas no Google, páginas no Facebook e cuecas de qualquer usuário de Mac. O software promete eliminar arquivos desnecessários, melhorar o desempenho da máquina, recuperar informações deletadas e criptografar dados importantes. Ele também possui um antivírus integrado para buscar malwares em partições do Windows e máquinas virtuais.

mackeeper

Mas, aparentemente, a empresa não estava seguindo recomendações de segurança básicas. O pesquisador Chris Vickery conta à Forbes que conseguiu acessar diretamente o banco de dados MongoDB da responsável pelo MacKeeper, obtendo informações como nomes de usuário, emails, hashes de senhas, números de telefone, endereços de IP, licenças de softwares e códigos de ativação.

Só o fato de deixar o banco de dados exposto na internet seria um problema gravíssimo, ainda mais para uma empresa que vende um software de segurança. Mas há outra vulnerabilidade: os hashes de senhas eram gravados em MD5, um algoritmo conhecido por ser fraco; sua utilização não é mais recomendada para armazenar senhas. E não havia nenhuma técnica para reforçar a segurança, como salting.

A Kromtech informou que está migrando de MD5 para SHA–512 e que a vulnerabilidade foi corrigida. No blog oficial, a empresa revela que apenas uma pessoa foi capaz de acessar indevidamente o banco de dados (o próprio pesquisador de segurança) e que as informações de pagamento dos clientes, como números de cartões de crédito, não estiveram em risco, por serem processadas por uma terceirizada.

Será que eles usam MacKeeper?

Relacionados

Escrito por

Paulo Higa

Paulo Higa

Ex-editor executivo

Paulo Higa é jornalista com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. No Tecnoblog, atuou como editor-executivo e head de operações entre 2012 e 2023. Viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. Foi coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.