El pasado domingo se publicó una de las noticias del mes, y puede que del año en el mundo Apple. El investigador en seguridad Chris Vickery anunció a través de Reddit que fue capaz de acceder a 13 millones de identidades. Estas identidades pertenecían a la empresa propietaria de MacKeeper. No es la primera vez que a esta empresa le ocurren cosas negativas, ya que hay que recordar que hace unos meses se utilizó un bug crítico que se descubrió en el software con el que se infectaba sistemas OS X.
Según el investigador, los datos eran o son de acceso público, es decir, no existía una contraseña que los protegiese. En otras palabras, él no vulneró el sistema lanzando ningún tipo de ataque, o ningún tipo de exploit. Simplemente, anuncia, que se conectó al servidor de base de datos que se encontraba público y sin protección. La afirmación anterior parece increíble, ya que es un hecho importante. Vickery encontró una debilidad o un error de configuración a través del buscador Shodan.
 |
| Figura 1: Historia en Reddit del investigador |
El investigador ha estado en contacto con los desarrolladores de MacKeeper. Según parece ya se han fortificado las bases de datos que eran accesibles desde el exterior y que no tenían, al parecer, autenticación. Según indica la propia empresa, ha tomado medidas para proteger los datos de los clientes y de las amenazas cibernéticas. También informaron que la tarjeta de crédito del cliente y la información de pago nunca estuvo en riesgo, ya que no las almacenan.
 |
| Figura 2: Evidencia de acceso a los 13 Millones de usuarios |
El investigador mostró en público la imagen anterior para reflejar el acceso a la información. No se muestra en ningún momento información sensible, pero se puede ver como se accede a la base de datos, en este caso un MongoDB y se tiene acceso a la colección Users. La colección tiene más de 13 millones de documentos, ocupando ésta más de 21 GB.
Ideally you described it all, as I thought! Great forum, very well put it, as I thought you could get help here.
ResponderEliminar