MacKeeper não fez o dever de casa e deixou vulneráveis as informações de 13 milhões de usuários

Em algum momento da sua história, provavelmente um pouco depois do lançamento, o MacKeeper se perdeu e virou um software totalmente suportado por propagandas enganosas. Não foi à toa que a desenvolvedora original dele foi obrigada a reembolsar clientes (um valor total mínimo de US$2 milhões, bem longe do faturamento bruto alcançado com as vendas do aplicativo).

Logo do MacKeeper

Não é incomum vermos páginas/banners do software informando que usuários preocupados com segurança devem utilizar o MacKeeper. Na página oficial do produto, eles estampam a seguinte mensagem:

Proteja seu Mac contra ataques de phishing, malware, spyware, adware, vírus e roubo de identidade enquanto usa a internet.

Sabe aquele ditado “Casa de ferreiro, espeto de pau”? Pois é, o hacker Chris Vickery teve acesso a um banco de dados da empresa que contém 13 milhões de registros de clientes apenas visitando uma seleção de endereços IP.

De acordo come ele, quatro endereços de IP o levaram diretamente a um banco de dados MongoDB com uma penca de informações pessoais (nomes, endereços de emails, logins, hashes de senhas, telefones, endereços IP, informações do sistema, licença de softwares e códigos de ativação).

Para completar, as senhas estavam protegidas com um algoritmo de hashing antigo facilmente quebrável (MD5, que basicamente transforma a senha em um emaranhado de letras/números de acordo com uma fórmula matemática). Alem disso, eles não utilizavam o “salt”, que adiciona caracteres aleatórios aos arquivos de texto da senha antes de ela ser transformada no emaranhado de letras/números.

A desenvolvedora do MacKeeper respondeu afirmando que apenas o hacker teve acesso ao conteúdo (ele entrou em contato com a Kromtech e não publicou nada sobre a brecha em si) e que informações mais sensíveis (como bancárias) não foram expostas já que tudo é processado por uma empresa terceira. Além disso, a companhia informou que está migrando a criptografia MD5 (Message-Digest algorithm 5) para a SHA-512 (secure hash algorithm, ou algoritmo de hash seguro).

Mas o que mais me impressionou mesmo foi saber que 13 milhões de pessoas utilizam — ou chegaram a utilizar — esse scamware. 😱

[dica do Ricardo Costa e do Tito Reis, via Forbes]

Posts relacionados

Comentários