De populaire wachtwoordmananger 1Password blijkt metadata van gebruikers te lekken, een probleem dat ook al in 2011 was opgemerkt. Dit keer is het Microsoft-engineer Dale Myers die ontdekte dat metadata van gebruikers onversleuteld wordt opgeslagen.
1Password beschikt over een feature om Dropbox-synchronisatie tussen verschillende apparaten te ondersteunen. Daarbij worden er verschillende bestanden opgeslagen, waaronder een onversleuteld JavaScript-bestand met daarin de namen en het adres van alle in 1Password opgeslagen items. Dit JavaScript-bestand is toegankelijk voor derden, zo waarschuwt de engineer.
"Iedereen die de link van de inlogpagina van mij keychain weet kan de link aanpassen en dit bestand opvragen." Dit zou vooral een probleem kunnen zijn voor mensen met accounts voor bepaalde websites waarvan ze niet willen dat anderen dit weten. Dit probleem doet zich alleen voor bij het AgileKeychain-formaat van 1Password en niet bij het nieuwere OPVault. Myers roept de ontwikkelaars van 1Password dan ook op om dit het enige ondersteunde formaat te maken.
Daarnaast schetst Myers ook nog een ander probleem, waarbij aanvallers de metadata kunnen gebruiken om een wachtwoord te wijzigen als de gebruiker zijn wachtwoord wil resetten, maar nog niet verder dan de resetpagina is gekomen. In dit geval kan de resetlink als metadata worden opgeslagen. De Microsoft-engineer stelt dat dit in 99% van de gevallen geen probleem is maar in bepaalde gevallen wel. Het probleem wordt volgens Myers vergroot omdat sommige mensen de link naar hun keychain op hun website hebben staan en in bepaalde gevallen is die door Google geïndexeerd.
De ontwikkelaars van 1Password werden door Myers ingelicht, maar die lieten weten dat het hier om een bewuste ontwerpkeuze ging. Daarnaast is de AgileKeychain een ouder formaat dat in 2012 door OPVault werd vervangen. Toch is Myers ook hierover kritisch, aangezien bij het aanmaken van een OPVault op Mac OS X de gebruiker een wachtwoordhint moet opgeven die onversleuteld wordt opgeslagen. Zelf gebruikt Myers 1Password al jaren. Door zijn bevindingen is zijn vertrouwen in de wachtwoordmamager aan het wankelen gebracht. Toch is hij niet van plan over te stappen.
Deze posting is gelocked. Reageren is niet meer mogelijk.