Tech hvg.hu 2017. december. 23. 17:00

Bepereltek egy újságírót, mert egy biztonsági résről tájékoztatott

Hamis és félrevezető kijelentések miatt perelte be egy jelszómenedzser gyártója egy portált, illetve annak újságíróját, mert hogy a cég jelszómenedzseréhez kapcsolódó biztonsági kockázatról írt. És az eset nem Észak-Koreában történt.

Lehet, hogy nem mindig jó elsőként megjelentetni egy hírt. Mindenesetre az Ars Technica oldalon jelent meg először az a hír, amely szerint komoly biztonsági kockázatot jelenthet a Windows 10 egyes verzióiba telepített jelszőmenedzser, a Keeper böngészőbővítménye. A hírt számos további oldal is átvette, azonban az érintett fejlesztő, a chicagói székhelyű Keeper Security az első fecskét, az Ars Technicát és annak biztonsági témákkal foglalkozó szerkesztőjét, Dan Goodint citálja egy illinoisi bíróság elé hamis és félrevezető információk közlése miatt.

Goodin persze nem a kisujjából szopta a dolgot, hanem a Google neves biztonsági kutatóját, Tavis Ormandyt idézte. Ormandy egy nappal korábban számolt be a Keeperben lévő biztonsági résről, amelyik lehetővé teszi, hogy bármelyik weboldal megszerezze a felhasználók jelszavait. Amikor Otmandy tesztelte a Windows 10-ben lévő jelszókezelőt, egy olyan, jelszólopást lehetővé tévő bugot talált, amelyik közel azonos volt azzal, amelyre már 2016-ban felfigyelt.

A cikk, amelyik kiverte a biztosítékot
Ars Technica

Ormandy jelezte a problémát a Keeper Security felé is, és a cég javára írandó, hogy 24 órán belül be is foltozták a rést, kiadták a bővítmény frissítését. Erről egy blogbejegyzésben írnak, ahol azt is kiemelik, hogy a szóban forgó sérülékenység nem érintette hátrányosan a felhasználókat. Időközben, ennek megfelelően, kétszer is módosították az Ars Technicánál az érintett cikket.

Ennek ellenére beperelték az újságírót, mert hogy állítólag olyan kijelentéseket tett, amelyek arra utalnak, hogy a szoftvernek egy 16 hónapja fennálló hibája volt, és ennyi ideig voltak veszélyben a felhasználók. Keresetükben felszólítanak a cikk eltávolítására (de hát hol lehet ilyenről szó maradéktalanul a neten?), és kártérítést is követelnek. A Keeper ügyvezető igazgatója mindezt egy e-mailben is megerősítette a ZDNetnek, külön is kiemelve, hogy cége erősen védi technológiájukat, márkáját, csapattagjait és ügyfeleit. Egyelőre sem a Google, sem a Microsoft nem reagált.

Reagált viszont jó pár biztonsági szekértő, nevetségesnek tartva a per tárgyát, és megjegyezve, hogy egy ilyen lépés igencsak rosszat tesz a Keeper Security – oly nagyon védett – hírnevének.