Les données de 13 millions d'utilisateurs de MacKeeper étaient diffusées en clair
Ce type de problème est-il récurrent ?

Le , par Stéphane le calme, Chroniqueur Actualités
Les utilisateurs de MacBook ou d’iMac reconnaissent sans doute MacKeeper, un logiciel développé par Zeobit (qui a été racheté par Kromtech) et qui se présente comme une suite permettant d’optimiser, nettoyer et sécuriser son système d’exploitation (à partir d’OS X 10.5) avec des outils comme un antivirus, un outil de nettoyage du cache, etc.

Il y a quelques jours, un chercheur en sécurité, Chris Vickery, a découvert une base de données MongoDB avec les noms et mots de passe hachés en MD5 de 13 millions d'utilisateurs de cette suite logicielle ainsi que d’autres données comme les adresses mail, les numéros de téléphone, les adresses IP, les codes d’activation ou des renseignements sur les licences en cours. Tout ce qu’il a eu à faire, c’est de chercher des bases de données MongoDB accessibles en se servant de l’outil de recherche Shodan.io.


« Je n’ai jamais entendu parler de MacKeeper ou de Kromtech jusqu’à la nuit dernière. C’est juste que je m’ennuyais et j’ai fait une recherche aléatoire sur le port:27017 », explique-t-il sur Reddit sous le pseudonyme FoundTheStuff. En le faisant, il a eu la surprise de détecter une base de données MongoDB avec 13 millions de comptes utilisateur, accessible sans aucune protection : « aucune authentification n’était requise ».

Il s’est également inquiété du fait que les mots de passe étaient protégés par un algorithme de hash qui a selon lui présenté ses limites. D’ailleurs, il existe un grand nombre de moteurs pour faire un crack de MD5 qui sont disponibles en ligne.

Dans un billet, l’entreprise a avancé que : « une vulnérabilité potentielle a été identifiée dans l'accès à notre système de stockage de données. Nous remercions Chris Vickery, chercheur spécialisé en sécurité informatique, d'avoir détecté cette faille sans en rendre publics les détails techniques. Nous avons corrigé le problème quelques heures après son identification. D'après les résultats de l'analyse de notre système de stockage de données, une seule personne est parvenue à s'y introduire : il s'agit de Chris Vickery. Celui-ci nous a confirmé qu'il n'avait pas partagé ni utilisé de données de façon inappropriée ».

Au-delà de MacKeeper, le plus inquiétant, c’est cette déclaration de Chris Vickery, qui affirme avoir « trouvé, ces deux dernières semaines, pas moins de 25 millions de comptes utilisateur laissés sans protection par différents services en ligne ». Aussi, à la lumière de cet incident, combien d’instances MongoDB qui ne requièrent pas d’authentification sont disponibles publiquement ? Plus de 25 000 selon le même outil utilisé par le chercheur dont plus de 14 000 aux États-Unis, 6000 en Chine, 1500 aux Pays-Bas et 1400 en France.


Les organisations qui sont le plus concernées sont Digital Ocean, Amazon.com et E.I du Pont de Nemours and Co. Les versions les plus concernées sont la version 3.0.7, plus de 3000 instances, 2.4.9, plus de 2600 instances, 2.4.14, plus de 2500 instances, 2.4.10, plus de 1800 instances et 3.0.6, plus de 1200 instances.

Le fait que MongoDB 3.0 soit autant représenté signifie que nombreuses sont les personnes qui changent les configurations par défaut des nouvelles versions de MongoDB (par défaut en localhost) et choisissent une solution procurant moins de sécurité. Ou alors les utilisateurs peuvent avoir mis à jour leurs instances en utilisant leurs fichiers de configuration précédents.

Le problème n’est pas uniquement lié à MongoDB : une recherche sur Shodan.io relatives à Redis, CouchDB, Cassandra ou même Riak permet de voir qu’ils sont également affectés par ces types de mauvaises configurations.

Source : billet de blog Mackeeper, commentaires Reddit (Chris Vickery sous le pseudonyme « FoundTheStuff »), rapport Shodan, blog Shodan

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Piratage de VTech : plus de cinq millions de comptes atteints et leurs données exposées sur internet, parmi lesquelles des photos et des messages


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de solstyce39 solstyce39 - Membre habitué https://www.developpez.com
le 18/12/2015 à 10:39
C'est beau le professionnalisme
Avatar de grunk grunk - Modérateur https://www.developpez.com
le 18/12/2015 à 11:59
C'est l'effet de mode nosql , beaucoup ce sont précipité dessus sans trop savoir pourquoi et sans trop y regardé et on se retrouve avec ce genre de problématique.
J'avais installer un outil à base de mongodb (un backend pour ACRA) qui par défaut n'a pas d'authentification. Si on y prête pas attention on se retrouve avec une belle fuite de données ...
Avatar de Thorna Thorna - Membre éclairé https://www.developpez.com
le 18/12/2015 à 13:06
Les problèmes de configuration de bases de données sont-ils récurrents ?

Indépendamment de NoSql ou autre mode, j'aimerais demander aux professionnels qui passent souvent ici si les stagiaires ou apprentis qu'ils emploient ou qu'ils croisent maitrisent les techniques permettant de protéger des BDD, ou tout au moins s'ils en ont déjà entendu parler. Si ce n'est pas le cas, ou quasiment pas (expérience personnelle), comment attendre d'un gamin qui a quelques notions de programmation et qui a compris qu'un truc diffusé dans le store peut rapporter des sous, qu'il respecte les règles sur le sujet ? Et comment attendre d'une vraie entreprise, qui développe pour le même marché et qui compte avant tout arriver première sur le créneau, qu'elle prenne le temps de tout faire briller avant de diffuser (avant de livrer) son produit ?
Oui, ces problèmes sont récurrents, l'ont été à une période où c'était moins grave, et le seront toujours dans une période ou ce sera pire. La charge nous incombe de limiter le plus possible la diffusion de nos données lorsque ce n'est pas nécessaire.
Avatar de spyserver spyserver - Membre averti https://www.developpez.com
le 18/12/2015 à 14:36
Ces technologies manquent de maturité tout simplement et sont donc "intégrées" souvent de manière amateur, je suis bien placé pr le savoir pr avoir suivi la mep d'une base Cassandra
Avatar de grunk grunk - Modérateur https://www.developpez.com
le 18/12/2015 à 15:07
Citation Envoyé par Thorna  Voir le message
Et comment attendre d'une vraie entreprise, qui développe pour le même marché et qui compte avant tout arriver première sur le créneau, qu'elle prenne le temps de tout faire briller avant de diffuser (avant de livrer) son produit ?

Entre finioler un produit et mettre un mot de passe sur une base de données y'a quand même une marche ^^ , on parle même pas de cryptage des données utilisateurs
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 18/12/2015 à 15:32
ça ma bien fait marrer !
ha bon ce n'est pas une blague ?
Si je passe 1 journée pour configurer un SGBD d'un type jamais rencontré c'est par ce que je m'assure que tout est sécurisé, mais a parement ça passe au dessus de la tête de plein de monde
Offres d'emploi IT
Architecte / concepteur électronique numérique H/F
Safran - Ile de France - Éragny (95610)
Responsable de projets - actionneurs H/F
SAFRAN - Ile de France - MASSY / MANTES
Ingénieur développement logiciels temps réel embarqué H/F
Safran - Ile de France - Éragny (95610)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil