События

Уязвимость в Keeper позволяет получить доступ к содержимому менеджера паролей

В менеджере паролей Keeper исправлена уязвимость, позволявшая получить доступ к конфиденциальным данным пользователей. Проблема была обнаружена анонимным исследователем безопасности, уведомившим о ней производителя через публичный список раскрытия уязвимостей.

По словам исследователя, любой, у кого есть контроль над сервером API Keeper, может получить доступ к ключу шифрования для паролей, хранящихся в менеджере. Проблема затрагивает скрипт на Python под названием Keeper Commander, позволяющий пользователям чередовать пароли и избавляющий от необходимости использовать вшитые пароли в ПО и системах.

Как пояснил исследователь, любой с доступом к серверу API Keeper (например, сотрудник Keeper) может получить доступ к учетным записям пользователей, поскольку на сервере хранится информация, использовавшаяся для создания промежуточного ключа. «С ноября 2015 года и по сей день в коде Keeper Commander присутствует слепое доверие к серверу API», - отметил исследователь.

Данная уязвимость ставит под сомнение заявление компании Keeper о том, что у ее сотрудников нет доступа к информации пользователей (например, в случае получения судебного ордера). Главный технологический директор Keeper Крейг Лури (Craig Lurey) подтвердил изданию ZDNet наличие уязвимости. Тем не менее, по его словам, компания говорит правду, заявляя, что не получает доступ к данным пользователей.

«Сообщение исследователя представляет собой лишь теоретический сценарий, никогда не использовавшийся в реальной жизни, и, что еще важнее, для осуществления которого требуется сговор внутри компании. Это неприемлемо и непрофессионально», - заявил Лури.

Источник

Автор: Сергей Куприянов
18.05.2018 (10:21)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome

Все права защищены © 2010-2024

"alterprogs.com" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.com. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.