Chercheur en sécurité, Chris Vickery a pu télécharger plus de 13 millions de données personnelles d'utilisateurs de la suite logicielle de sécurité et d'optimisation MacKeeper pour OS X. L'homme - qui ne possède pas d'ordinateur Mac - n'avait jamais entendu parler de cette solution et sa découverte a été fortuite.

La faille a été mise au jour alors qu'il utilisait le moteur de recherche pour l'Internet des objets Shodan. Ce moteur permet de rechercher quasiment tout ce qui se connecte à Internet grâce à divers filtres. Une recherche pour le port 27017 lui a permis d'accéder à une base de données MongoDB et il a identifié quatre adresses IP appartenant à Kromtech, l'éditeur de MacKeeper. Il a ensuite eu recours à un outil pour naviguer dans les bases de données Mongo.

MacKeeper-base-donnees
En libre accès, des noms, adresses email, noms d'utilisateur, hashes de mots de passe, numéros de téléphones, adresses IP ou encore des codes d'activation. Manifestement, Kromtech utilisait un simple hachage MD5 qui n'est plus considéré sûr depuis bien longtemps.

Kromtech a publié un avis de sécurité concernant une " vulnérabilité potentielle au niveau de l'accès à son système de stockage des données ". Autrement dit, la fuite d'information découverte par Chris Vickery qui fort heureusement est un hacker white hat (sans intention malveillante).

La faille a été bouchée et l'éditeur basé en Allemagne dit ne pas avoir constaté d'accès malveillant à sa base de données. Kromtech souligne par ailleurs que toutes les informations de paiement sont traitées par un tiers et n'ont pas été exposées. Le problème serait dû à une mauvaise configuration du serveur datant de la semaine dernière. Chris Vickery a quelques doutes à ce sujet. Pour lui, le problème remonterait à mi-novembre.

Dans cette affaire, Kromtech a eu de la chance de tomber sur un hacker de la trempe de Chris Vickery. Cela restera un gros avertissement sans frais. Les utilisateurs de MacKeeper seraient cependant bien inspirés de modifier leur mot de passe, et ne pas omettre de faire de même sur d'autres sites si ce même sésame y est utilisé.