Уязвимость в Keeper позволяет получить доступ к содержимому менеджера паролей

image

Теги: менеджер паролей, уязвимость, Keeper

Любой с доступом к серверу API Keeper может получить доступ к учетным записям пользователей.

В менеджере паролей Keeper исправлена уязвимость, позволявшая получить доступ к конфиденциальным данным пользователей. Проблема была обнаружена анонимным исследователем безопасности, уведомившим о ней производителя через публичный список раскрытия уязвимостей.

По словам исследователя, любой, у кого есть контроль над сервером API Keeper, может получить доступ к ключу шифрования для паролей, хранящихся в менеджере. Проблема затрагивает скрипт на Python под названием Keeper Commander, позволяющий пользователям чередовать пароли и избавляющий от необходимости использовать вшитые пароли в ПО и системах.

Как пояснил исследователь, любой с доступом к серверу API Keeper (например, сотрудник Keeper) может получить доступ к учетным записям пользователей, поскольку на сервере хранится информация, использовавшаяся для создания промежуточного ключа. «С ноября 2015 года и по сей день в коде Keeper Commander присутствует слепое доверие к серверу API», - отметил исследователь.

Данная уязвимость ставит под сомнение заявление компании Keeper о том, что у ее сотрудников нет доступа к информации пользователей (например, в случае получения судебного ордера). Главный технологический директор Keeper Крейг Лури (Craig Lurey) подтвердил изданию ZDNet наличие уязвимости. Тем не менее, по его словам, компания говорит правду, заявляя, что не получает доступ к данным пользователей.

«Сообщение исследователя представляет собой лишь теоретический сценарий, никогда не использовавшийся в реальной жизни, и, что еще важнее, для осуществления которого требуется сговор внутри компании. Это неприемлемо и непрофессионально», - заявил Лури.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.