Quando um pesquisador descobriu uma falha de segurança no Keeper, isso acabou virando notícia — esse gerenciador de senhas é pré-instalado em instalações limpas do Windows 10. Agora, a empresa por trás desse software está processando um jornalista que noticiou o caso.
A Keeper Security acusa Dan Goodin, editor de segurança do Ars Technica, de fazer “declarações falsas e enganosas” sobre seu gerenciador de senhas.
A notícia diz que Tavis Ormandy, pesquisador de segurança do Google, descobriu uma falha grave no Keeper. Após ser ativado pelo usuário, ele sugere instalar um plugin de navegador que “permite a qualquer site roubar qualquer senha”.
Ormandy publicou uma prova de conceito, capaz de roubar sua senha do Twitter caso ela esteja armazenada no Keeper, e caso você tenha ativado o plugin de navegador. A própria empresa confirmou em seu blog oficial que essa falha existia, mas “nenhum cliente foi afetado de forma adversa”.
Essa vulnerabilidade é quase idêntica a outra que Ormandy descobriu no mesmo plugin há 16 meses, permitindo que sites roubassem senhas. A Keeper Security diz, no entanto, que a falha é diferente e está presente apenas na versão 11.3 do app; ela lançou uma correção 24 horas após ser alertada.
No processo judicial, a empresa diz que Goodin e o Ars Technica “fizeram declarações falsas e enganosas sobre o software Keeper, sugerindo que ele tinha um bug de 16 meses que permitia que os sites roubassem senhas de usuários”. Ela pede por um julgamento com júri, retração e remoção do artigo, e compensação por danos morais.
A jornalista de segurança Kim Zetter comentou o caso no Twitter, dizendo: “que precedente ruim para uma empresa de segurança, e que forma desonrosa de tratar um jornalista que vem cobrindo segurança há anos, e que se esforça ao máximo em informar os detalhes certos”.
A notícia do Ars Technica foi inicialmente publicada com o título “Microsoft está forçando usuários a instalar um gerenciador de senhas com falha crítica”. O site entrou em contato com a Keeper Security, que não respondeu imediatamente.
Depois que ela enviou uma declaração, o texto foi atualizado. Algumas horas depois, o título mudou para “Durante 8 dias, Windows incluiu um gerenciador de senhas com uma falha crítica no plugin”.
O Windows 10 instala alguns aplicativos mesmo em cópias limpas do sistema, incluindo o Keeper e o jogo Candy Crush Saga. Ormandy usou uma imagem do MSDN voltada para desenvolvedores; mas eu já me deparei com esses apps após criar novas partições para testar builds do programa Insider.
Em 2013, a Keeper Security ameaçou processar a empresa de segurança Fox-IT por encontrar uma vulnerabilidade em seu gerenciador de senhas para iOS.
Com informações: ZDNet.