如果您是 MacKeeper(Mac 实用程序)的用户,那么是时候更改您的密码了。黑客 Chris Vickery 刚刚表明,他的出版商 Kromtech 将 1300 万用户的个人数据留在网络上的一个数据库中,对任何人都开放。从那时起,它的访问就受到了保护,但我们不能排除这些数据已经在暗网上可用。
阅读:高科技玩具:数以百万计的伟易达账户被黑,其中包括儿童的账户
据 Kromtech 称,该公司正式承认了博客文章,此数据包含姓名、许可证号、IP 地址、用户名和散列密码。
最后一点特别值得关注,因为根据 Chris Vickery 的说法,所使用的哈希技术将是“非常虚弱”(不使用哈希盐的 MD5 算法)。换句话说,从散列形式恢复密码将非常简单。然而,许多用户对不同的服务使用相同的密码,因此可能会依次遭到黑客攻击。
这次黑客攻击是偶然发生的
Chris Vickery 是如何恢复所有这些数据的?很简单:他访问了 shodan.io,该网站在技术上引用了互联网上可访问的所有类型的 Web 服务。“直到现在我才听说过 MacKeeper 或 Kromtech,他解释说红迪网化名 FoundTheStuff。只是无聊,就在端口:27017 上随意搜索了一下。 »
就在那时,他惊讶地发现了一个拥有 1300 万个用户帐户的 MongoDB 数据库,并且可以在没有任何保护的情况下访问。“无需身份验证”,他强调。事实上,你甚至不能称其为黑客......
阅读:一家法国运营商在网络上留下了 800 万份客户数据(更新)
Kromtech 在其博客文章中试图保持形象并解释道“进行了彻底的内部审查,以确定问题的严重程度,并采取了几项额外的安全措施”。
有趣的是(或者悲惨,具体取决于),MacKeeper 还提供安全功能,例如数据加密、安全浏览或防病毒保护。一个安全工具发行商无法在其客户数据库上定义密码,真的,这并不严重!
对于 MacKeeper 的发行商来说,这个故事显然是灾难性的。由于一些可疑的营销行为,该产品已经没有很好的形象:使用不必要的危言耸听的弹出式广告、难以卸载、虚假促销网站等。这无助于获得或重新获得用户的信任……
