Kromtech (MacKeeper) laissait 13 millions de comptes clients exposés aux quatre vents

Kromtech (MacKeeper) laissait 13 millions de comptes clients exposés aux quatre vents

Et aux chercheurs qui s'ennuient

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

16/12/2015 4 minutes
33

Kromtech (MacKeeper) laissait 13 millions de comptes clients exposés aux quatre vents

Kromtech, éditeur de l’antivirus MacKeeper, laissait une imposante base de données ouverte aux accès extérieurs. La découverte a été faite par un chercheur en sécurité qui a averti l’entreprise sans la dévoiler avant sa trouvaille. Les accès sont maintenant verrouillés, mais on peut se demander combien de sociétés laissent ainsi ouvertes les portes menant parfois à des données sensibles.

MacKeeper est probablement l’un des antivirus les plus connus pour les Mac, mais pas toujours pour les bonnes raisons (publicités agressives, signalement de problèmes ne pouvant être réparés que par la version payante...). Il s’agit d’un marché assez spécifique dans la mesure où les menaces contre OS X ne sont pas nombreuses (mais en augmentation), mais beaucoup ne veulent pas prendre de risque, sans parler du phénomène de porteur sain : un Mac peut très bien stocker des malwares Windows, que l’on retrouve alors en pièces jointes ou sur des clés USB.

Un chercheur en sécurité qui s'ennuyait

Comme tous les éditeurs proposant des produits commerciaux, Kromtech dispose d’une base de données contenant les traces des achats de ses clients. Or, cette base de données particulière était ouverte aux quatre vents. Le chercheur en sécurité Chris Vickery est tombé dessus « par hasard » en cherchant, dans le moteur spécialisé Shodan, des objets connectés reliés à Internet. Il disait s’ennuyer et tapait des plages d’adresses IP au hasard, espérant rencontrer une connexion intéressante.

Il a fini par en trouver plusieurs qui menaient chez Kromtech, sans d’ailleurs savoir que cette entreprise existait. Il s’est simplement connecté à une base de données créée sous MongoDB et contenant pas moins de 13 millions de références clients, contenant les noms, adresses email, noms d’utilisateurs, mots de passe hachés, adresses IP, numéros de téléphone, renseignements techniques sur la machine faisant fonctionner MacKeeper, informations sur les licences et codes d’activation. Au total, 21 Go de données.

A priori, aucun autre accès n'a été détecté

Il a été surpris d’entrer en contact si rapidement avec une telle quantité de données, puisque la base ne réclamait ni nom d’utilisateur, ni mot de passe. Il a en tout cas averti Kromtech, qui a réagi très rapidement. En quelques heures, la base de données n’était plus accessible, après une deuxième correction qui faisait suite à une autre plage d’adresses IP trouvées. Par ailleurs, l’éditeur de l’antivirus signale que les clients ne sont pas en danger puisque la connexion de Chris Vickery semble être la seule à être venue de l’extérieur.

La société indique ainsi dans un communiqué : « Nous sommes reconnaissants envers le chercheur en sécurité Chris Vickery, qui a identifié le problème sans révéler d’informations techniques de manière publique. Nous avons corrigé l’erreur dans les heures qui ont suivi la découverte. Notre analyse du système de stockage des données montre qu’un seul individu a obtenu l’accès, le chercheur lui-même. Nous avons été en contact avec Chris et il n’a pas partagé ou utilisé ces données de manière inappropriée ».

Les informations liées aux paiements sont stockées ailleurs

L’éditeur précise également qu’en aucun cas des informations dangereuses n’auraient pu être volées. Par exemple, tout ce qui se touche à la facturation et aux paiements est géré par une autre entreprise. Il signale en outre que des mesures ont déjà été mises en place pour renforcer la sécurité de sa base de données et qu’une évaluation complète est en cours pour déterminer d’autres pistes d’amélioration.

Il se pourrait en fait que lesdites améliorations concernent le hachage des mots de passe. Sur le fil Reddit où il est intervenu, Chris Vickery indiquait hier qu’il lui semblait que Kromtech avait utilisé l’algorithme MD5, sans aucun salage. La société n’a pas confirmé ce point, et le chercheur ne semble pas en être certain, mais il s’agirait d’un manque crucial de sécurité, le hachage MD5 pouvant être cassé en quelques secondes avec les outils et la puissance adaptés, comme nous l’avions déjà signalé dans le cas du piratage de Vtech.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un chercheur en sécurité qui s'ennuyait

A priori, aucun autre accès n'a été détecté

Les informations liées aux paiements sont stockées ailleurs

Commentaires (33)


ouch.

Au moins ils n’ont pas (comme certains) essayer de le poursuivre en justice …


MacKeeper EST un virus, il serait temps que quelqu’un travaille vraiment sur le sujet pour les dénonncer.


encore MongoDB, faut croire que les DBA sur mongoDB sont de vraies quiches puisqu’ils ont modifié volontairement la config pour laisser la porte ouverte (par défaut uniquement localhost et avec mdp)








spidy a écrit :



encore MongoDB, faut croire que les DBA sur mongoDB sont de vraies quiches puisqu’ils ont modifié volontairement la config pour laisser la porte ouverte (par défaut uniquement localhost et avec mdp)





très bon <img data-src=" />









vono a écrit :



ouch.

Au moins ils n’ont pas (comme certains) essayer de le poursuivre en justice …







Bluetoof ?









MaamuT a écrit :



MacKeeper EST un virus, il serait temps que quelqu’un travaille vraiment sur le sujet pour les dénonncer.





Oh, tiens, salut camarade ! <img data-src=" />&nbsp;





100% d’accord avec toi, comme tu peux l’imaginer… MacKeeper est à fuir comme la peste, il rajoute plus de failles qu’il n’en corrige, et en plus, te fait payer pour éliminer ses propres conneries !



Inadmissible, ils devraient être poursuivis pour escroquerie ! Je crois d’ailleurs me souvenir que c’eut été le cas aux USA, par une Class Action…



Oui, c’est marrant ça: une recherche Google sur MacKeeper ne fait pas apparaitre “antivirus” comme activité principale du dit logiciel…



C’est même plutôt l’inverse (après les liens datent de 2012 - 2014: peut être que ça a changé??)








Silenus a écrit :



Oui, c’est marrant ça: une recherche Google sur MacKeeper ne fait pas apparaitre “antivirus” comme activité principale du dit logiciel…



C’est même plutôt l’inverse (après les liens datent de 2012 - 2014: peut être que ça a changé??)





Non, rien n’a changé, ils ont juste changé de propriétaire, et je pense que de moins en moins de personnes se laissent duper…



Pour reprendre la description de MacBidouille sur MacKeeper :



“MacKeeper est certainement le produit le plus controversé sur Mac. Ce logiciel crée non seulement plus de problèmes qu’il n’en règle mais en plus la publicité agressive avec laquelle sa promotion est faite est écœurante. Dans la plupart des cas son éditeur va vous faire croire à un problème afin de vous inciter à l’acheter.”



Alors que NXi le présente comme antivirus le plus connu pour le mac. Je trouve ça bizarre venant de NXi, peut-être faire une petite précision sur le caractère malsain de ce logiciel ?


Ça a déjà été ajouté au début de l’actualité. Fallait juste que le cache soit mis à jour. Il n’en est pas moins L’UN DES, et non LE plus connu des antivirus sur Mac.


La précision a été rajoutée après, rafraîchis la page ;)&nbsp;



Edith : oops, grillé par le patron ! <img data-src=" />


<img data-src=" />


La précision en début d’article me paraît presque douce comparé au ressenti des utilisateurs Mac contre MacKeeper : leur spécialité consiste à ouvrir des fenêtres de pub qui annoncent que vous êtes infecté “probablement” et qui ne peuvent être fermée qu’après une boîte de dialogue qui essaye à nouveau de faire peur. Pour justifier qu’ils sont un&nbsp;antiviral (payant), ils ont juste rhabillé un Avira gratuit. Sinon, pour le restant de la sécurité du Mac (et la leur apparemment), ils sont à la ramasse et sont plus à classer dans les moyens de retirer de l’argent de manière indue…&nbsphttp://www.securitemac.com/mackeeper.html








vono a écrit :



ouch.

Au moins ils n’ont pas (comme certains) essayer de le poursuivre en justice …







être traduit en justice pour avoir pingé une ip et s’être connecté dessus? et on justifie comment la connexion a NXi? <img data-src=" />









Vincent_H a écrit :



Ça a déjà été ajouté au début de l’actualité. Fallait juste que le cache soit mis à jour. Il n’en est pas moins L’UN DES, et non LE plus connu des antivirus sur Mac.





Sauf que ce n’est pas un antivirus, c’est un crapware, le truc qui te dit quand tu navigues sur internet “ton mac est infecté, installe mackeeper” alors que la machine est saine.









Vincent_H a écrit :



Ça a déjà été ajouté au début de l’actualité. Fallait juste que le cache soit mis à jour. Il n’en est pas moins L’UN DES, et non LE plus connu des antivirus sur Mac.





Hello Vincent,

Sincèrement, la tonalité globale est de l’article trop douce à mon goût, ça frôle l’indulgence qui n’a pas lieu d’être, notamment au vu des pratiques de la société.

Mais bonnes fêtes quand même <img data-src=" />

&nbsp;



Intrusion dans un système informatique.

La définition d’intrusion n’est pas simple à définir :





En un mot, si un informaticien « white-hat » tombe par hasard sur une zone d’administration d’un site web non sécurisé, il n’aura pas commis d’intrusion… mais s’il se dit « chouette, je vais regarder ce que qu’il y a dessus » et qu’il continue de naviguer dans cette zone, alors là, il sera en plein dans l’intrusion au sens du code pénal.



mais comme il l’explique, tant que:

-il ne modifie rien ;

-il n’en tire pas profit ;

-les manipulations techniques étaient triviales.

Il n’y a pas trop de risque d’être accusé d’intrusion.

http://www.sedlex.fr/fondamentaux/quentend-t-on-par-intrusion-dans-un-systeme-di…








spidy a écrit :



encore MongoDB, faut croire que les DBA sur mongoDB sont de vraies quiches puisqu’ils ont modifié volontairement la config pour laisser la porte ouverte (par défaut uniquement localhost et avec mdp)







Les mots de passes peuvent être craqués. En supprimant les mots de passe il n’y a donc plus de crackage ! CQFD!



Tiens je viens d’apprendre qu’il y a des antivirus sur mac <img data-src=" />


Normal !&nbsp;

On prends soin de toi.








spidy a écrit :



encore MongoDB, faut croire que les DBA sur mongoDB sont de vraies quiches puisqu’ils ont modifié volontairement la config pour laisser la porte ouverte (par défaut uniquement localhost et avec mdp)





C’est pas simplement la config par defaut sous MongoDB ? Je me suis amuse un peu avec recement avec Docker et par defaut il n’y avait pas de mot de passe. Je sais pas si c’est une config particuliere de l’image mongo sous Docker ou le comportement par defaut ?









Vincent_H a écrit :



Ça a déjà été ajouté au début de l’actualité. Fallait juste que le cache soit mis à jour. Il n’en est pas moins L’UN DES, et non LE plus connu des antivirus sur Mac.







Connaissant PCI et l’appréciant pour sa justesse générale, je suis obligé de te contredire…



Ce machin est connu et reconnus pour être une arnaque pure et dure, depuis Zeobit en passant par de nombreux pays et autant de noms.



Je suis un ancien Tech Apple Certifié, et comme je ne bosse plus là bas je peux le dire, tous les techos Apple rêvent de tuer le proprio de cette boite.



Dans ma boite, j’ai fait changer les condition du SAV pour intégrer une clause spécialement dédiée à ce machin et qui coute une demi heure de main d’œuvre.



C’est une merde point, et voir de la pub pour ce truc sur des sites Informatique à la pointe, ça fait un peux bizarre, je n’ai jamais vu une pub pour de restauration rapide quand je vais au restaurant.



Bref, pas de complaisance pour cette daube.







maestro321 a écrit :



-il ne modifie rien ;

-il n’en tire pas profit ;

-les manipulations techniques étaient triviales.





MK fait tout le contraire et c’est une plaie a nettoyer…



Et surtout, il est mauvais dans son vrai travail de recherche de virus.



Je m’étais déjà permis une petite mise au point chez des amis.









spidy a écrit :



encore MongoDB, faut croire que les DBA sur mongoDB sont de vraies quiches puisqu’ils ont modifié volontairement la config pour laisser la porte ouverte (par défaut uniquement localhost et avec mdp)





Le problème c’est la jeunesse du produit. Trop d’entreprises l’ont adopté alors qu’il ne connaissait que les rudiments. Il y a beaucoup d’expert MongoDB dans la nature et en voici la preuve…



Bien au dela des crédentials quand tu as un service “OpenBar” sur le net le minimum c’est d’autoriser les IP légitime à se connecter.



C’est une précaution qui est toujours à prendre ….


mea culpa, effectivement il n’y a pas de login/pass par défaut à renseigner (ce qui revient au même niveau sécurité que sur un système avec login/pass par défaut) mais dans mongoDB par défaut c’est bien uniquement via 127.0.0.1 que tu peux y accéder.



la question que je me pose surtout c’est pourquoi les mecs ont volontairement ouvert le port spécifique pour mongo (27017) sur l’extérieur.

&nbsp;L’une des règle fondamentale de sécurité informatique est de ne jamais exposer en direct une base de données.


Sinon vous avez Malwarebytes qui existent maintenant sur OS X.


Je confirme mackeeper est une merde absolue…








seb2411 a écrit :



C’est pas simplement la config par defaut sous MongoDB ? Je me suis amuse un peu avec recement avec Docker et par defaut il n’y avait pas de mot de passe. Je sais pas si c’est une config particuliere de l’image mongo sous Docker ou le comportement par defaut ?





Environ 13 des images Docker comportent au moins une faille critique. Faire une image Docker c’est simple, faire une image sûre en est une autre.



Par ailleurs, quand j’ai commencé l’article, je me suis dit : tiens, encore une erreur de config mongoDB. Bingo ! En gros (si je me rappelle bien), la config par défaut permet l’accès à la base depuis tout internet, avec un mot de passe par défaut.



Donc :





  • L’erreur de config mongoDB est sûrement la base de ça (elle a peut-être été reprise dans une image Docker, pourquoi pas)

  • Ca montre le niveau de cette société qui vend de la sécurité sans en avoir un échantillon sur elle :oui2:





    Bonne journée à tous <img data-src=" />



Mais visiblement ça n’est même pas un antivirus il installe avira qui est gratuit. Par contre il faut (ou fallait, ça a peut-être changé) payer MacKeeper pour qu’il accepte de mettre à jour la base de avira <img data-src=" />


Pour moi, MacKeeper, c’est avant tout des pubs intrusives sur les sites de, euh, madames toutes nue de l’internet (c’est un ami qui me l’a dit). Ca donne le niveau.








le podoclaste a écrit :



Pour moi, MacKeeper, c’est avant tout des pubs intrusives sur les sites de, euh, madames toutes nue de l’internet (c’est un ami qui me l’a dit). Ca donne le niveau.





On est pas vendredi…



de mes souvenirs de cours mongoDB (2014), par défaut la base est accessible sans mdp et uniquement en localhost.



&nbsp;La quiche de DBA a juste sauté le verrou des IP pour y accéder de chez lui (ou pour faire la redondance sur un autre serveur) :p