Wie het chatprogramma CryptoCat gebruikt om versleuteld met anderen te communiceren, moet ervan uitgaan dat alle berichten tussen 17 oktober 2011 en 15 juni 2013 zijn gecompromitteerd. Dat beweert beveiligingsonderzoeker Steve Thomas. Hij ontdekte een kwetsbaarheid in de manier waarop CryptoCat privésleutels voor versleutelde berichten genereerde.

Thomas schreef een tool genaamd DecryptoCat, om de berichten die met de kwetsbare privésleutels zijn verstuurd te ontsleutelen. De bug bleef volgens de onderzoeker 347 dagen onopgemerkt. Uiteindelijk gaf hij CryptoCat naar eigen zeggen een patch om het gevonden probleem op te lossen, maar de update werd door de ontwikkelaars van de chatdienst aangepast.

Daardoor werd de beveiliging van de privésleutels minder goed dan Thomas had bedoeld. Hij stelt dan ook dat de ontwikkelaars van CryptoCat volledig 'incompetent' zijn en waarschuwt dat er waarschijnlijk nog veel meer bugs in de software aanwezig zijn, aangezien hij alleen naar het generen van encryptiesleutels heeft gekeken.

Update 14:15
CryptoCat bevestigt in een eigen blogposting het door Thomas ontdekte lek. Gebruikers van versies voor 2.0.42 krijgen het dringende advies om naar de meest recente versie te upgraden. De ontwikkelaar van het chatprogramma is blij met de feedback van Thomas, maar hekelt de toonzetting van zijn publicatie.

Ook zou het SSL-certificaat van CryptoCat, voor zover bekend, veilig zijn. Er gaan namelijk geruchten rond dat het certificaat gecompromitteerd is, maar dat is volgens de ontwikkelaar niet waar.

Als laatste verontschuldigt hij zich tegenover gebruikers. "Slechte bugs komen voor. Bij CryptoCat hebben we ervoor gekozen om het gat tussen toegankelijkheid en security te dichten. Dit is nooit eenvoudig en we zullen altijd fouten maken, zelfs over tien jaar."