Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Bedrijf klaagt Ars Technica-journalist aan voor publicatie over lek in software

Het bedrijf Keeper heeft zowel de site Ars Technica en zijn eigenaar aangeklaagd als beveiligingsjournalist Dan Goodin. De reden is een artikel over de wachtwoordmanager van het bedrijf, waarvan kortstondig een kwetsbare versie automatisch werd ge´nstalleerd bij sommige Windows 10-gebruikers.

Uit de aanklacht is op te maken dat het bedrijf Goodin beschuldigt van laster, misleiding en het publiceren van onjuiste informatie over een product of bedrijf. Keeper eist dat Ars Technica het artikel in kwestie terugtrekt en dat er een schadevergoeding wordt betaald. Het bedrijf claimt dat 'Goodin wist dat zijn uitingen onjuist waren' en dat hij geen contact heeft opgenomen met het bedrijf, dat na het incident een eigen blogpost publiceerde. Het doel van het artikel zou zijn geweest om 'schade toe te brengen aan Keeper'.

Goodin heeft zijn artikel verschillende keren aangepast, zo is op Ars Technica te lezen. De publicatie volgde op de ontdekking van het lek door Google-onderzoeker Tavis Ormandy, die vaker lekken vindt in de producten van derden en dat in het verleden ook al deed bij andere wachtwoordmanagers. Het lek in kwestie was aanwezig in de Chrome-extensie van de Keeper-software en maakte het mogelijk dat een aanvaller via een kwaadaardige site de wachtwoorden van gebruikers buitmaakte. Daarvoor moesten mensen de Keeper-software in gebruik nemen en de extensie installeren.

Het is niet de eerste keer dat Keeper juridische stappen onderneemt na de ontdekking van een kwetsbaarheid. In 2013 vond beveiligingsbedrijf Fox-IT een lek in de wachtwoordmanager van het bedrijf. Destijds zei het bedrijf juridische stappen tegen Fox-IT te ondernemen. De huidige rechtszaak is aangespannen in de Amerikaanse staat Illinois.

Door Sander van Voorst

Nieuwsredacteur

21-12-2017 • 11:28

55 Linkedin Google+

Submitter: Gymnasiast

Reacties (55)

Wijzig sortering
Wat mij vooral opviel was deze zin:
De reden is een artikel over de wachtwoordmanager van het bedrijf, waarvan kortstondig een kwetsbare versie automatisch werd ge´nstalleerd bij sommige Windows 10-gebruikers.
Waarom zou dat automatisch ge´nstalleerd worden bij sommige Windows 10 gebruikers? Blijkbaar zit er in W10 een 'Content Delivery Manager' die allerlei apps op de achtergrond installeert 8)7

Als je in regedit kijkt onder

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ContentDeliveryManager

Dan zie je daar zaken als:

PreInstalledAppsEnabled
OemPreInstalledAppsEnabled
PreInstalledAppsEverEnabled
SystemPaneSuggestionsEnabled
SilentInstalledAppsEnabled

die je gerust op 0 kan zetten. Tenzij je veel waarde hecht aan cAnDyCrUsH en mInEcRaFt die spontaan in je taakbalk verschijnen.
Kijk dit is nu weer de tip van de dag voor mij !. Tweakers waardige reactie.Tnx.

[Reactie gewijzigd door NCSP op 21 december 2017 13:00]

Zeer handig! Bedankt voor het delen.

Ik vraag me alleen af of welke apps hier allemaal onder vallen. PreInstalledApps klinkt namelijk ook als calculator etc. of denk ik nu verkeerd?
Kan je die hele folder van Content Delivery Manager verwijderen of werkt dat niet zo? Hoe zet je die zaken op 0? Alvast bedankt.

[Reactie gewijzigd door tinoz op 21 december 2017 14:26]

Ik begrijp dat je daar Regedit voor nodig hebt, alleen hoe moet je dit op 0 zetten?
dubbel click er alles waar een 1 staat een 0 van maken..
Die wordt dan waarschijnlijk weer automagisch aangemaakt... Met alle settings weer default op 1
Ik vroeg me altijd al af waarom die onzin in Windows professional wordt meegegeven. Ze zouden die map gewoon Bloatware moeten noemen
Dat is traditie bij MS :Y
Nee, gekheid, maar Microsoft heeft bijvoorbeeld op Windows NT Server ook spelletjes gehad.
Blijkbaar werkt deze regedit truc niet meer vanaf versie 1607.

Misschien is dit dan beter. Al moet je even opletten: bij mij heet de app "Microsoft Content", niet "Windows Spotlight"

[Reactie gewijzigd door MeMoRy op 22 december 2017 19:39]

Welke onjuiste uitingen heeft ARS Techinica dan gepubliceerd? En welke onjuiste uitingen zijn aangepast en welke uitingen zijn dan nog steeds onjuist?

En wat is de rol van de google medewerker dan precies? Een bug publiceren mag toch gewoon?
als je op de link klikt lees je het allemaal
https://www.documentcloud...y-Inc-v-Goodin-et-al.html
begint op pagina 5 wat alle verkeerde statements zijn.
pagina 13 komen plaatjes voorbeelden en het hele artikel naar voren
kan de tekst niet makkelijk kopieren plakken anders had ik het hier erbij gezet
Als je view original PDF doet, kun je wel copy-pasten :-)
The following quotations are examples of the false and misleading statements made in the Article:
1) “Microsoft is forcing users to install a critically flawed password manager.”
2) “Win 10 Version of Keeper has 16-month-old bug allowing sites to steal passwords”;
3) “Microsoft is quietly forcing some Windows 10 computers to install a password manager that contains a critical vulnerability almost identical to one disclosed 16 months ago that allows websites to steal passwords…”;
4) “…quietly forced…”;
5) “…unwanted app…”;
6) “…allowing any website to steal any password…”;
7) “Fortunately, Windows 10 users aren’t vulnerable unless they open Keeper and begin trusting it with their passwords.”
8 ) “Still, the incident raises questions about the security vetting Microsoft gives to apps it bundles with Windows.”
9) “If an outsider can find a 16-month-old vulnerability so quickly and easily, it stands to reason people inside the software company should have found it long ago.”
10) “It’s possible Microsoft has a process in place for ensuring the security of third-party apps that get installed on Windows 10 machines and that somehow the Keeper vulnerability slipped through anyway.” 11) “It’s also possible third-party apps don’t come with the same security assurances of other Microsoft software.”

Goodin knew these statements were false. Goodin failed to speak with Keeper, and failed to verify his facts with Keeper or Microsoft, before publishing the Article.

[Reactie gewijzigd door ItsNotRudy op 21 december 2017 12:16]

Ik vind nummer 5 wel mooi. Ze doen net alsof hun software niet gewoon als PUP geclassificeerd moeten worden.
Nou, zo onjuist ziet het er niet uit. Voor zover het feiten zijn lijken ze plausibel en voorzover het vragen en stellingen zijn lijken ze me 'honest personal opinion'. Ik ken het Amerikaanse juridische systeem gelukkig niet zo goed, maar het ziet er niet uit als smaad of laster.
Gelukkig moet de aanklager gaan bewijzen dat het niet zo is. Vraag me af hoe ze dat gaan doen.
Ik was er al aan begonnen, maar na een stukje juridisch geneuzel hield ik er mee op. Opzich had tweakers wel iets dieper op de beschuldiging in kunnen gaan wat er dan precies mis is en wat er wel en niet lijkt te kloppen. Maar mijn eerste probleem is, hoe zit het precies met de gevonden bugs en wat klopt er wel en niet van de gemaakte aantijgingen? Ik kan dat al moeilijk beoordelen, dus kan ik ook de aantijgingen die beginnen op pagina 5 al moeilijk beoordelen op correctheid of waarheid. Verder begint men al over hoe windows applicatie installeert op pc, dat lijkt mij verder weinig van invloed op de keeper applicatie en bugs, dus wat dat er mee te maken heeft ontgaat mij al even.
Want als je software slecht is, vooral vingertje wijzen en schreeuwen naar de mensen die de fouten vinden 8)7 wat een walgelijk bedrijf :r
Dat is nogal kort door de bocht. In dit geval lijkt Keeper van mening te zijn dat het artikel onjuistheden verkondigde. Dat kan wel degelijk laster zijn. Het publiceren van een bug is tot hier aan toe maar je moet er (zeker als onderzoeksjournalist) niet een schepje bovenop doen en dingen gaan verzinnen natuurlijk.

Ik ben overigens wel benieuwd in hoeverre Keeper hierin gelijk heeft, of toch gewoon spierballen probeert te tonen om toekomstige publicaties af te schrikken.
Bijkomend probleem is denk ik ook dat de auteur van het artikel deze al een aantal keer heeft aangepast en het dus blijkbaar, ook naar mening van de auteur of iig Ars Technica, onjuistheden bevatte. De schade is dan alleen al geleden.
Een bijkomende motivatie om deze aanklacht in te dienen is wellicht om zo wat meer ruchtbaarheid te geven aan de onjuistheid van het artikel.

@hieronder: Ah bedankt voor de verduidelijking. Dat had best in het artikel mogen staan, nu komt het anders over.

[Reactie gewijzigd door Vexxon op 21 december 2017 13:03]

Het artikel was aangepast om:
- Een reactie van Keeper toe te voegen
- Een reactie van Microsoft toe te voegen
- Te melden dat Keeper niet perse gebruikt moest worden in Windows en waarvoor de plugin diende
- De duur van het probleem te vermelden

Niet echt aanpassingen om fouten uit het artikel te halen.
En sowieso is arstechnica mijn inziens een betrouwbare bron. Alle artikelen daar zijn mijn inziens goed onderbouwd en goed onderzocht. Diverse auteurs hebben specialismes en echt wel kennis op die gebieden.

Dus even grof gesteld verwacht ik dat keeper geen schijn van kans maakt.
Ik ook. Dat Keeper zomaar journalisten gaat aanklagen vind ik zo vreselijk, dat de naam Keeper nu voor mij besmet is. Ik zou die naam nu schrappen van mijn lijstje van wachtwoordprogramma's dat ik mensen aanraad.
Waarom hebben ze Tavis Ormandy dan niet aangeklaagd?
Omdat die zich kan verdedigen, met Google achter zich.
Ars en Goodin moeten helemaal naar Illinois om zich te verdedigen.
Keeper zal er wel op gokken bij verstek in het gelijk te zullen worden gesteld, et voilß: jurisprudentie in hun voordeel.
Ars Technica valt onder CondÚ Nast... dat is ook gewoon een miljardenbedrijf.
Dus, misschien geen Google, maar niet direct een kleine speler. Van CaliforniŰ naar Illinios is ook het probleem niet, plus ze zullen al genoeg advocaten in dienst hebben wat scheelt natuurlijk.
Tavis werkt voor Google. Dat zullen ze niet gedurft hebben :)
Omdat de ontdekking van de kwetsbaarheid wel klopt, maar het artikel hierover van Ars Technica volgens Keeper onjuistheden bevat.
Als ze die proceskosten nou eens zouden steken in het maken van een deugdelijk product... maar ja... dat zal wel te moeilijk zijn om te begrijpen voor die figuren :(
Helemaal mee eens. Een Passwordmanager ontwikkelaar die dergelijke manco's niet heeft gevonden en de betreffende versie in productie neemt heeft haar Testprocessen niet op orde. Het is opmerkelijk dat de security expert bij Google deze bugs al eerder heeft gevonden. Toen probeerde Keeper ook al de aandacht af te leiden door het aanspannen van een juridische procedure.

Er zijn ook een paar audits geweest door onafhankelijke security auditors op een aantal Passwordmanagers. Deze audits hebben kwetsbaarheden opgeleverd die in de meeste Passwordmanagers direct zijn opgelost.

Het blijkt dat gebruikers waakzaam moeten blijven. Ars Technica en andere softwarejournalisten blijven het geweten van de softwarebouwers. Die moet je natuurlijk nooit de mond snoeren, zeker niet als het om veiligheid gaat.
Ligt er natuurlijk hoe het originele artikel geschreven was. Het is allemaal niet zo zwart wit als jij nu doet voorkomen. Als de schrijver bv wist dat wat hij ging publiceren (op een site als Ars Technica) niet klopte en dat toch publiceerde (want tja, dat trekt lezers en daarmee dus inkomsten), dan is er wel degelijk een punt om ze er op aan te spreken.
Wat mij betreft mag bij incorrecte nieuwsberichten waarvan de schrijver van te voren wel wist dat het niet klopte hier keihard op aangepakt worden, want het loopt tegenwoordig de spuigaten uit.. Ook hier op tweakers hekel ik het dat een artikel 's ochtends anders kan zijn dan bv 's avonds en als men er in de comments iets van zegt dat het artikel fout is, wordt men er op gewezen dat ergens anders te melden, en het artikel wordt dan aangepast zonder dat er bv een historie van de aanpassingen te zien is (of dat het artikel uberhaupt is bijgewerk). Er wordt tegenwoordig steeds vaker eerst maar een 'kladje' neergezet zodat men alvast de 'primeur' heeft en daarna wordt het dan wel verbetert. Dat is geen vorm van professionaliteit (en vaak zijn het ook dan dingen die een simpele spellingscontrole er al uit hadden kunnen halen).
Aan de "als" voorwaarde lijkt niet voldaan te worden als ik de andere reacties zo lees, dus de lezer springt over de "dan" branch van je betoog heen.
Mijn vooroordeel is dat Ars Technica dit gaat winnen. Ik heb enorm veel respect voor die site, de kwaliteit is enorm, zowel technisch als journalistiek. Dan Goodin is niet de eerste de beste en iemand die meestal wel weet waar hij het over heeft. Als Ars achter dit verhaal staat dan ben ik geneigd het te geloven.
Nu kan iedereen zich wel eens vergissen maar een goede journalist publiceert dan een correctie. Van Ars Technica verwacht ik niet anders, zeker niet als er dergelijke ophef ontstaat.
Hoewel ik er op vertrouw dat Ars de zaak gaat winnen hoop ik dat het een beetje snel gaat zodat ze hun energie weer op journalistiek kunnen richten. Van een langgerekte juridische strijd worden alleen de juristen beter.
Als je de termen bekijkt die ze pakken, zit Ars wel degelijke aan de 'foute' kant.

Ze hebben niets bij Keeper geverifieerd en al helemaal niet bij MS (de CDM 'installeert' niets, die download enkel tot jij zelf kiest om het op te starten - zie het als pre-install of pre-fetch van websites), maar gebruiken wel de termen 'quietly forced' en 'unwanted app'.

In die logica had ik eerder verwacht dat MS hier iets tegen had gedaan.
Tja, het is hoe dan ook wel een 'Unwanted app'. Het is een app die nog niet volledig ge´nstalleerd staat, maar het staat wel op gelijke voet in de UI.
In die logica had ik eerder verwacht dat MS hier iets tegen had gedaan.
Ik heb ook het gevoel dat het artikel meer tegen MS gericht is dan tegen Keeper. De meeste van de statements die onjuist zouden zijn gaan eigenlijk over MS. "Microsoft is forcing", "the security vetting Microsoft gives to apps", etc....
MS heeft volgens mij al lang geleden geleerd dat internet vol staat met verhalen waar MS het niet mee eens is, maar aanpakken zou meer schade doen dan gewoon laten staan.
Heb je wel gelijk in. Maar zoals je zelf al aangaf: Ars is geen kleine website. En als daar pertinente onwaarheden op staan, denk ik dat MS wel degelijk daar tegen in actie komt, want een slecht artikel op een gezaghebbende website is natuurlijk veel schadelijker als in het lokale sufferdje :). (Hebben ze hier trouwens ook gedaan: het artikel was toch aangevuld met een reactie van Microsoft?)
tja, als je je spy/adware bewust als trojans via derden verspreid, moet je niet gaan piepen als mensen erover klagen zonder precies te snappen waar het fout is gegaan.
Als het door Microsoft geinstalleerd word ZONDER toestemming van Keeper hebben ze wel een punt - maar dan moeten ze vooral Microsoft aanklagen wegens copyright inbreuk, naamschade en nog een paar van die dingen.

[Reactie gewijzigd door mbb op 21 december 2017 19:02]

In 2013 vond beveiligingsbedrijf Fox-IT een lek in de wachtwoordmanager van het bedrijf. Destijds zei het bedrijf juridische stappen tegen Fox-IT te ondernemen.
Ja....en hebben ze dat nu wel of niet gedaan? Wat was de uitkomst?
Ik kan niks vinden. Dus ik denk alleen maar wat praatjes.
Tamelijk vreemde tactiek aangezien het gewoon klopte dat er lekken in zaten. Dat je dan rechtzaken start lijkt een scare-tactic te zijn.
Het artikel is wel iets langer dan "er zitten lekken in".

Maar raar dat de auteur wordt verweten geen contact opgenomen te hebben met het bedrijf. Hij is namelijk niet de ontdekker van de lekken. Dat ze nou die ontdekker (Google-onderzoeker Tavis Ormandy) aanklagen voor dit punt, zou logischer zijn. Is zeker te link, om Google aan te klagen? ;-)
vreemd, klokkenluiders als deze zouden beschermt moeten worden tegen dit soort onzin zaken!
Klokkenluiders wel, mensen die alleen laster verspreiden niet. Ik heb me nog niet ingelezen in deze zaak maar ga er voor nu nog even van uit dat Ars geen onzin verkoopt in deze.
Dit is wat Keeper claimt:
ItsNotRudy in 'nieuws: Bedrijf klaagt Ars Technica-journalist aan voor public...

[Reactie gewijzigd door ItsNotRudy op 21 december 2017 14:56]

Dit is geen klokkenluider-situatie. De betreffende journalist is gewoon een externe partij in deze zaak.
Hoe heeft deze partij ooit met Microsoft samen kunnen werken.
Microsoft en de de producenten die MS Windows op hun apparatuur zetten, hebben stelselmatig blijk gegeven kwaliteit en betrouwbaarheid niet voorop te stellen. De meeste apparatuur wordt geleverd met allerlei troep, vaak van derden, er al op. De derde leveranciers betalen daarvoor veelal; meegeleverd worden biedt een relatief goede positie op het werven van nieuwe klanten, uitventen van reclame of verzamelen van waardevolle (persoonlijke) informatie. Programmatuur als McAfee e.d. is daarvan een aardig voorbeeld: weinig toegevoegde waarde (t.o.v. MS Defender) en na de 3 "gratis" maanden ontpopt dat zich als schreeuwprogramma, als een agressieve reclamezuil.

Keeper ken ik niet, maar vermoedelijk zit dat dus in dezelfde categorie: meegeleverde troep. Verwar Keeper overigens niet met KeePass, de laatste is een keurige, open source, wachtwooordbeheerder.
I you can't beat them, sue them. Amerikaanser wordt het niet.
Streisand effect! Ik had er nog niet over gelezen.
https://en.wikipedia.org/wiki/Streisand_effect

edit: link toegevoegd

[Reactie gewijzigd door raugustinus op 21 december 2017 11:41]

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True