Lücke in Mac-OS-Optimierungstool MacKeeper macht Nutzerdaten zugänglich
Die persönlichen Informationen von 13 Millionen Anwendern sind demnach betroffen. Ein Sicherheitsexperte hatte eine öffentlich zugängliche Datenbank des Herausgebers Kromtech entdeckt. Der Kölner Anbieter schloss die Lücke eigenen Angaben zufolge binnen weniger Stunden. Ein Missbrauch der Daten wird immerhin ausgeschlossen.
Kromtech, der Herausgeber des Mac-Werkzeugs MacKeeper, hat eine Schwachstelle behoben, durch die die persönlichen Informationen von etwa 13 Millionen Kunden des Unternehmens offengelegt wurden. Die Sicherheitslücke hat der Sicherheitsforscher Chris Vickery entdeckt. Zunächst hatte er auf Reddit über den Datenabfluss informiert und Kromtech auf das bestehende Problem hingewiesen.
Der Fehler sei “innerhalb weniger Stunden” korrigiert worden, teilte das in Köln ansässige Unternehmen auf seiner Website mit. Es gebe zudem keinen Hinweis auf einen Missbrauch der Kundendatenbank, die einem Screenshot des Sicherheitsforschers zufolge 21,2 GByte groß ist.
“Wir sind dem Sicherheitsforscher Chris Vickery sehr dankbar, der dieses Problem entdeckt hat, ohne jegliche technischen Details öffentlich zu machen”, heißt es in einem Blogbeitrag von Kromtech. “Die Analyse unseres Storage-Systems zeigt, dass nur eine Person Zugriff hatte, und zwar der Sicherheitsforscher selbst. Wir waren in Kontakt mit Chris, und er hat die Daten nicht unsachgemäß benutzt.”
Zudem hebt Kromtech hervor, dass es weder Abrechnungsdaten noch Kreditkartendetails oder Kontoverbindungen auf seinen Servern speichert. Die Datenbank beinhalte lediglich Namen, Anmeldedaten sowie Einzelheiten zu den erworbenen Produkten und Lizenzen. Die Kundenpasswörter seien zudem chiffriert.
Vickery fand die Lücke eigenen Angaben zufolge über die Suchmaschine “Shodan.io”. Sie habe öffentlich zugängliche IP-Adressen für Instanzen einer MongoDB-Datenbank geliefert. “Vor vergangener Nacht hatte ich die Namen MacKeeper oder Kromtech noch nie gehört”, schreibt Vickery auf Reddit. Auf die Anfälligkeit sei er nur deshalb gestoßen, weil er aus Langeweile nach IP-Adressen mit offenem Port 27.017 gesucht habe.
Kromtech zufolge soll die MacKeeper-Software Anwendern bei der Lösung technischer Probleme ihrer Macs helfen, den Arbeitsspeicher überwachen und optimieren, die Startzeit eines Macs verkürzen und auch die Privatsphäre von Nutzern schützen.
Kritiker bemängeln an der Tool-Sammlung jedoch, dass sie angeblich falsche Sicherheits- und Leistungsprobleme meldet, um Nutzer zu einem Kauf von MacKeeper zu bewegen. Zeobit, das MacKeeper 2013 an Kromtech verkauft hat, musste im August in den USA 2 Millionen Dollar Schadenersatz zahlen. Auslöser war eine Sammelklage wegen irreführender Werbung und falscher Versprechungen.
[mit Material von Stefan Beiersmann, ZDNet.de]