Duitse overheid publiceert audit Bitwarden-browserextensie en Vaultwarden
De Duitse overheid heeft een security-audit van de Bitwarden-browserextensie en Vaultwarden Server gepubliceerd, twee oplossingen waarmee gebruikers en organisaties hun wachtwoorden kunnen beheren. Er werden in totaal twaalf beveiligingsproblemen gevonden, waaronder twee kritieke. De eerste kritieke kwetsbaarheid betreft de 'Emergency Access' feature van Vaultwarden.
Hierbij kan een gebruiker een noodcontact opgeven die na een bepaalde tijd toegang tot zijn of haar account kan krijgen. Daarbij kunnen ook verschillende toegangsniveaus worden ingesteld. De kritieke kwetsbaarheid zorgt ervoor dat een opgegeven gebruiker de ingestelde voorwaarden kan aanpassen, zoals toegangsniveau tot opgeslagen inloggegevens en wachttijd.
Het tweede kritieke probleem bevindt zich ook in Vaultwarden. De oplossing biedt geen offboarding proces voor personen die een organisatie verlaten en het roteren van encryptiesleutels. Dit houdt in dat de master keys vereist voor datatoegang niet worden veranderd. Hierdoor kan een vertrekkende medewerker, van wie de toegang is ingetrokken, nog steeds de encryptiesleutels van de gegevens van de organisatie in handen hebben.
De tijdens de audit gevonden problemen zijn inmiddels verholpen. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, lanceerde in 2021 het 'Code Analysis of Open Source Software' (CAOS)-project. De bedoeling van dit project is het onderzoeken van opensourceprogramma's waar steeds meer overheden en mensen gebruik van maken.
Eerder werd al gekeken naar communicatiesoftware Matrix, microbloggingplatform Mastodon en videoconferentiesoftware Jitsi en BigBlueButton. Onlangs verscheen ook de security-audit van wachtwoordmanager KeePass.
Niet zo lalala benne van Hollandia effe suipe lulle en met andere mense bemoeie
Duitsers hebben nog Bildung. Vorming, goede dialogen op tv Zeker ook schaduw kanten, maar grondigheid degelijkheid is wel een plus. En dat vertaald zich terug in dit onderzoek.
Niet zo lalala benne van Hollandia effe suipe lulle en met andere mense bemoeie
Duitsers hebben nog Bildung. Vorming, goede dialogen op tv Zeker ook schaduw kanten, maar grondigheid degelijkheid is wel een plus. En dat vertaald zich terug in dit onderzoek.
Helemaal eens! Duitsers schrijven ook nog met interpunctie en zonder taalvouten.
Doen ze ook, onder meer op de privacy van Microsoft producten en diensten. En de hele EU heeft er plezier van.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
