MacKeeper: Daten von Millionen Kunden gehackt
Alexander Trust, den 14. Dezember 2015
Die Daten von Millionen von MacKeeper-Kunden wurden gehackt. Dies behauptet Sicherheitsspezialist Chris Vickery. Details dazu, wie man Zugriff auf die Daten bekommen konnte, sollen erst veröffentlicht werden, wenn die Lücke geschlossen wird.
Der Hersteller von MacKeeper sei informiert, gibt Chris Vickery an. Der White-Hat-Hacker hat Zugriff auf mehr als 13 Millionen Datensätze von MacKeeper-Kunden erlangt. Wie das funktioniert, will er erst verraten, wenn der Hersteller nachgebessert hat.
Daten unzureichend gesichert
Doch Vickery lässt kein gutes Haar am Anbieter Kromtech, der MacKeeper erst 2013 von ZeoBit übernommen hat. Es sei relativ simpel gewesen, sich Zugang zu verschaffen. Es habe keinerlei Schutzmechanismen auf den Servern gegeben, auf denen die Daten abgelegt waren. Darüber hinaus seien die Passwörter der Benutzer nur sehr einfach mittels MD5-Hash chiffriert worden und nicht mal „gesalzen“, d. h. es wurde zum Erstellen des Hash kein zusätzliches, zufälliges Stichwort verwendet, was die Wiederherstellung erschwert hätte.
Hintergründe
MacKeeper gilt als Scam- oder Scareware. Die Software liefert „reproduzierbar“ selbst auf frisch installierten Systemen teils „besorgniserregende“ Ergebnisse und schreckt so vor allem unbedarfte Benutzer auf. Auf diese Weise versucht der Anbieter Kunden zum Kauf von Abos oder Erweiterungen zu bewegen und sammelt zudem noch Daten, die, wie jetzt bekannt wurde kaum geschützt sind und womöglich schon früher von Hackern entwendet wurden.
Ursprünglich wurde MacKeeper von ZeoBit entwickelt, einem Unternehmen mit Sitz in der Ukraine. Seit 2013 wird MacKeeper von Kromtech betrieben. Das Unternehmen gibt ein Büro in Köln als Hauptsitz an, ist jedoch auf den Cayman Inseln registriert. Die Hauptverantwortlichen wie der Geschäftsführer geben auf Plattformen wie LinkedIn ihren Standort in der Ukraine an.
Sammelklage wegen irreführender Werbung
Ein teilweises Eingeständnis für eher unseriöse Praktiken ist das Ergebnis einer Sammelklage, die im August 2015 entschieden wurde. Wegen irreführender Werbung und falscher Versprechungen musste der Entwickler Kunden eine Entschädigung zahlen. Für Ansprüche, die geltend gemacht wurden, wurden insgesamt 2 Millionen US-Dollar bereitgestellt.