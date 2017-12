Der Passwort-Manager Keeper verrät unter Umständen die Passwörter. Die Sicherheitslücke ist ähnlich schon 2016 aufgetreten. US-Journalist Dan Goodin berichtete, woraufhin Keeper ihn mit einer Klage eingedeckt hat.

Keeper Security verklagt den Journalisten Dan Goodin und den Verlag Condé Nast. Anlass ist ein Bericht Goodins über eine Sicherheitslücke: Die Webbrowser-Erweiterung des Passwort-Managers Keeper 11.3 ist verwundbar, Angreifer könnten darüber die Passwörter aus dem Manager auslesen. Auch heise security hat darüber berichtet. Besonders peinlich: Keeper hatte einen ähnlichen Fehler bereits voriges Jahr in seine Software eingebaut.

Die Berichterstattung Goodins auf Condé Nasts Website Ars Technica stört Keeper offenbar enorm. Die Firma behauptet in ihrer Klage, Journalist und Verlag hätten sie absichtlich schädigen wollen: "Ziel und Ergebnis des Artikels waren, Keeper und seine Mitarbeiter zu schädigen und Keeper Produkte schlecht zu machen." Die Klägerin verlangt Schadenersatz für üble Nachrede (Defamation) und Geschäftsschädigung (Commercial Disparagement) nach dem Recht des US-Bundesstaates Illinois.

Die aktuelle Sicherheitslücke hat der Google-Mitarbeiter Tavis Ormandy gefunden. Er hatte Windows 10 aus dem Microsoft Developer Network (MSDN) heruntergeladen und installiert. Dabei bemerkte er, dass der Passwort-Manager "Keeper Password & Data Vault" ungefragt mitinstalliert wurde. Dessen Setup-Routine sah dann die Installation der Browser-Erweiterung vor. Mit Hilfe dieser Erweiterung hätte eine böswillige Webseite die Passwörter aus dem Passwort-Manager auslesen können.

I don't want to hear about how even a password manager with a trivial remote root that shares all your passwords with every website is better than nothing. People really tell me this. ὤ4