Wachtwoordmanager 1Password lekt metadata
De populaire wachtwoordmananger 1Password blijkt metadata van gebruikers te lekken, een probleem dat ook al in 2011 was opgemerkt. Dit keer is het Microsoft-engineer Dale Myers die ontdekte dat metadata van gebruikers onversleuteld wordt opgeslagen.
1Password beschikt over een feature om Dropbox-synchronisatie tussen verschillende apparaten te ondersteunen. Daarbij worden er verschillende bestanden opgeslagen, waaronder een onversleuteld JavaScript-bestand met daarin de namen en het adres van alle in 1Password opgeslagen items. Dit JavaScript-bestand is toegankelijk voor derden, zo waarschuwt de engineer.
"Iedereen die de link van de inlogpagina van mij keychain weet kan de link aanpassen en dit bestand opvragen." Dit zou vooral een probleem kunnen zijn voor mensen met accounts voor bepaalde websites waarvan ze niet willen dat anderen dit weten. Dit probleem doet zich alleen voor bij het AgileKeychain-formaat van 1Password en niet bij het nieuwere OPVault. Myers roept de ontwikkelaars van 1Password dan ook op om dit het enige ondersteunde formaat te maken.
Daarnaast schetst Myers ook nog een ander probleem, waarbij aanvallers de metadata kunnen gebruiken om een wachtwoord te wijzigen als de gebruiker zijn wachtwoord wil resetten, maar nog niet verder dan de resetpagina is gekomen. In dit geval kan de resetlink als metadata worden opgeslagen. De Microsoft-engineer stelt dat dit in 99% van de gevallen geen probleem is maar in bepaalde gevallen wel. Het probleem wordt volgens Myers vergroot omdat sommige mensen de link naar hun keychain op hun website hebben staan en in bepaalde gevallen is die door Google geïndexeerd.
De ontwikkelaars van 1Password werden door Myers ingelicht, maar die lieten weten dat het hier om een bewuste ontwerpkeuze ging. Daarnaast is de AgileKeychain een ouder formaat dat in 2012 door OPVault werd vervangen. Toch is Myers ook hierover kritisch, aangezien bij het aanmaken van een OPVault op Mac OS X de gebruiker een wachtwoordhint moet opgeven die onversleuteld wordt opgeslagen. Zelf gebruikt Myers 1Password al jaren. Door zijn bevindingen is zijn vertrouwen in de wachtwoordmamager aan het wankelen gebracht. Toch is hij niet van plan over te stappen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.