เมื่อสัปดาห์ที่ผ่านมา Project Zero รายงานถึงช่องโหว่ของซอฟต์แวร์เก็บรหัสผ่าน Keeper ที่ไมโครซอฟท์ติดตั้งไปกับ Windows 10 ตั้งแต่กลางปีที่ผ่านมา ปรากฎว่าเวอร์ชั่นที่ติดตั้งมาด้วยมีช่องโหว่ทำให้ผู้ใช้อาจถูกหลอกเอารหัสผ่านที่พบครั้งแรกเมื่อปี 2016 และทาง Keeper ได้ถอดฟีเจอร์ที่มีปัญหาออกไปแล้วครั้งหนึ่ง และตอนนี้ Keeper ก็ยื่นฟ้องต่อ ArsTechnica และ Dan Goodvin ผู้เขียนบทความว่ารายงานช่องโหว่นี้ไม่ตรงความจริง

ในเวอร์ชั่นที่ติดไปกับ Windows 10 จะแนะนำให้ติดตั้งส่วนขยายของเบราว์เซอร์ไปด้วยและส่วนขยายนี้มีช่องโหว่เดิมอีกครั้ง ซึ่งทาง Keeper ได้ถอดฟีเจอร์ "Add to Existing" ออกในเวลาต่อมา

ไมโครซอฟท์ติดตั้ง Keeper ให้กับผู้ใช้ Windows 10 ทั้งรุ่น Home และรุ่น Pro

ทาง Keeper ระบุว่ารายงานไม่ตรงความจริงเพราะผู้ใช้จะตกในความเสี่ยงต้องผ่านถึง 5 ขั้นตอน ได้แก่

1. ติดตั้งส่วนเสริมเบราว์เซอร์แยก
2. ผู้ใช้ล็อกอินในส่วนเสริมเบราว์เซอร์
3. เก็บรหัสผ่านไว้ใน Keeper Vault
4. เข้าเว็บไซต์ที่มีอันตราย
5. เว็บไซต์อันตรายนั้นยิงโค้ดเจาะจงสำหรับส่วนเสริมของ Keeper เอง

ทาง Keeper ได้แจ้งไปยัง ArsTechnica และทางเว็บไซต์ก็ได้แก้ไขบทความให้สองรอบ แต่ทาง Keeper ก็ยืนยันว่าบทความยังไม่ตรงความจริง โดยเน้นว่าส่วนเสริมเบราว์เซอร์นั้นแยกออกจากแอปหลัก ประเด็นนี้ Keeper ได้รายงานไปยัง Project Zero ด้วย แต่ Travis Ormandy จาก Project Zero ก็ยืนยันว่าในเมื่อหน้าจอมาตรฐานของการเปิดใช้ Keeper นั้นสนับสนุนให้ผู้ใช้ติดตั้งส่วนเสริมเบราว์เซอร์ไปพร้อมกันเสมอ (ดูภาพหน้าจอเปิดใช้งาน) ก็ถือว่าการข้ามการติดตั้งเช่นนี้เป็นพฤติกรรมนอกเหนือเส้นทางปกติ

ที่มา - Document Cloud: Keeper Security Inc. v. Goodvin, ZDnet