Der Anbieter der App Keeper, die US-Firma Keeper Security, hat den US-Reporter Dan Goodin von Ars Technica verklagt. Ziel: Der Artikel zur Sicherheitslücke in Keeper soll aus dem Web verschwinden.
Anzeige
Zum Hintergrund
Das muss man sich mal auf der Zunge zergehen lassen. Vor einigen Tagen wurde öffentlich, dass die Passwort-Manager App Keeper unter Windows 10 'irgendwie vorinstalliert' war und eine Sicherheitslücke aufwies. Tavis Ormandy, Sicherheitsforscher bei Google, hat den Fehler im Rahmen von Google Project Zero auf chromium.org publik gemacht. Dan Goodin hatte auf Grund dieser Informationen diesen Artikel veröffentlicht und diesen nach vorliegen neuer Informationen mehrfach aktualisiert – ein übliches Vorgehen. Ich hatte das Thema im Blog-Beitrag Windows 10: Unsicherer Passwort-Manager-App eingeschleust, auf Basis der Informationen von Ormandy, behandelt.
Die Darstellung von Keeper Security
Nach meinen Informationen war die Sicherheitslücke wohl in einer Browser-Erweiterung, die zum Einfügen der Passwörter in Webseiten verwendet wird, enthalten, wurde mit der Windows 10-App Keeper aber mit ausgeliefert. Die US-Firma Keeper Security hat die Sicherheitslücke in diesem Blog-Beitrag bestätigt und mit der Version 11.4.4 auch behoben. Im Blogbeitrag schreiben die Leute: Man habe am 8. Dezember eine neue Browser-Extension 11.3 freigegeben. Am 14. Dezember sei man von Tavis Ormandy informiert worden und am 15. Dezember 2017 habe man die fehlerbereinigte Version bereits freigegeben. Kein Kunde sei durch diese Lücke betroffen worden.
Ab hier wird es schmutzig
Bis zu diesem Punkt hätte man sagen können: OK, denen ist ein Fehler passiert, die haben fix reagiert, den Bug behoben und ausgerollt. Und das wäre es gewesen. Nun wird es aber schmutzig, denn Keeper Security versucht Einfluss auf die Berichterstattung zu nehmen.
Tavis Ormandy erhielt von Keeper Security eine E-Mail, in der er zur Korrektur einiger seiner Ausführungen im Bug-Report aufgefordert wurde. Hier seine Ausführungen, die er an den Bug-Report angehängt hat.
Keeper sent me a mail requesting multiple changes to this report, the crux of their concern is that they believe the Keeper browser extension is a separate product to their Keeper desktop application, and believe this report conflates the two products.
The keeper browser extension is installed as part of the default setup flow for the Keeper application, the relevant prompt can be seen in the attached screenshot. Unless a user clicks "Skip" in this dialog, they would be affected by this vulnerability. I stand by my original assessment of this issue, and consider clicking "Skip" here a non-default configuration.
A user must have completed the setup flow to be vulnerable – the existence of the keeper icon in the start menu alone is not sufficient. If a user has clicked the icon and started using Keeper in the default configuration, they would be vulnerable.
Kommt mir schon irgendwie als Haarspalterei vor – meine Lesart: wenn ein Benutzer der Installation der Erweiterung nicht zugestimmt hat, war er nicht verwundbar.
(Quelle: Chromium-Seite)
Dazu muss er Skip in obigem Dialogfeld anklicken. Gut, kann man zur Kenntnis nehmen und Ormandy hat das nachgetragen. Nun berichtet ZDNet.com hier, dass Keeper Security eine Klage gegen Dan Goodin, Security Editor bei Ars Technica eingereicht habe. Begründung: "false and misleading statements" (also falsche und irreführende Ausführungen).
Konkret gibt die Klageschrift an, dass Goodin falsche und irreführende Aussagen über die Keeper-Software-Anwendung gemacht habe, die darauf hindeuten, dass sie einen 16 Monate alten Fehler hatte, der es Websites erlaubte, Benutzerpasswörter zu stehlen. Ich hatte die 16 Monate gelesen, und es so interpretiert, dass sich dies auf den Content Delivery Manager und weniger auf die App bezog. Aktuell gibt der Ars Technica-Artikel an, dass die fehlerhafte App 8 Tage installiert war.
Anzeige
Die Firma Keeper Security macht laut ZDNet.com Verleumdungsansprüche geltend und fordert ein Geschworenenverfahren. Die Klage fordert auch die Rücknahme und Entfernung des Artikels und die Gewährung von Schadenersatz an den Keeper. Keeper-Chef Darren Guccione wiederholte die Behauptungen des Unternehmens in einer E-Mail an ZDNet und fügte hinzu, dass es "seine Technologie, seine Marke, seine Teammitglieder und seine Kunden energisch verteidige".
Muss man sich auf der Zunge zergehen lassen: Die haben einen Fehler gemacht, den zugegeben und behoben. Und nun versucht man die Berichterstattung zu tilgen und die Berichterstatter an die Wand zu klagen – geht so wohl nur in den USA. Das Echo im Web ist dann auch entsprechend. Matt Suiche, ein Sicherheitsforscher drückt es in diesem Tweet aus:
I agree with @a_greenberg – this is bullying and @dangoodin001 is def in the top 1% knowledgeable journalists. If @keepersecurity thinks this will make their software more secure, this will only irreversibly damage their reputation as a security company. https://t.co/4Sy6Pr3BdN
— Matthieu Suiche (@msuiche) 20. Dezember 2017
Kim Zetter, ein weiterer US-Journalist im Sicherheitsbereich fasst es in einem Tweet zusammen:
I agree with @a_greenberg – this is bullying and @dangoodin001 is def in the top 1% knowledgeable journalists. If @keepersecurity thinks this will make their software more secure, this will only irreversibly damage their reputation as a security company. https://t.co/4Sy6Pr3BdN
— Matthieu Suiche (@msuiche) 20. Dezember 2017
Unklar ist, ob die Klage überhaupt Erfolg haben kann, da Illinois wohl diesbezüglich eine gute Rechtsprechung im Sinne einer unbeeinflussten Berichtserstattung hat. ZDNet verweist darauf, dass Keeper die Sicherheitsfirma Fox-IT zu verklagen drohte, weil sie eine Sicherheitslücke in einem ihrer Produkte gefunden hatte und veröffentlichen wollte. Diese Klage liegt wohl unter dem Aktenzeigen 1:17-cv-09117 im nördlichen Bezirk von Illinois vor. Hier sollen Berichterstatter wohl abgeschreckt werden, so dass sie freiwillig Zensur ausüben. Bleibt nur auf den Streisand-Effekt zu hoffen.
Nachtrag: heise.de hat hier einen deutschsprachigen Beitrag mit ergänzenden Informationen veröffentlicht. Auch Golem hat sich der Geschichte angenommen und hier einen schönen Beitrag veröffentlicht.
2015
Ist ja auch breit durch diskutiert worden, und die Bewertung des Keeper sinkt von Stunde zu Stunde im Windows Store.
Das ist natürlich für die Software auch Existent Bedrohlich, hätte sie doch einfach geschrieben das sie Relativ schnell gehandelt haben ob nun 16 Monate oder Acht Tage (Zeit ist ja auch Relativ) und das nun die Software Sicher ist.
Nein es muss ja auch noch geklagt werden, ich sage immer dazu wenn unrecht zu recht wird, wird Widerstand zur Pflicht.
Ich hoffe die Internetgemeinde wird dem Pfleger mal Zeigen wo der Hammer hängt!
Die US-Firma Keeper Security schädigt sich mit der Klage nur selber. Besser der Google Sicherheitsforscher entdeckt einen Fehler, als wenn das Hacker mit bösen Absichten gelungen wäre. Die Negativschlagzeilen wären dann deutlich größer ausgefallen. Insbesondere, da Microsoft anscheinend bei Neuinstallation von Windows 10 Vers. 1709 die App mit installiert. Der Keeper-Chef ist wohl nicht in der Lage die Konsequenzen seines Handelns (Klage) abzuschätzen.
das finde ich so nett an Foren & und Blogs mit nur einem Eintrag ändert sich auch meine Sichtweise.
Oh, ich mache es wie mit WetterOnline und dem Deutschen Wetterdienst: die erst genannten Witzbolde meide ich.
Nein, ich will es ihnen nicht mal so richtig zeigen, aber weder Zeit noch Vertrauen für sie bemühen.