Passwort-Manager sollen helfen, Zugangsdaten geschützt und sicher abzulegen und dabei Nutzerinnen und Nutzern die „Merkarbeit“ abnehmen. Dabei können die praktischen Helferlein auch noch Gerätegrenzen sprengen und die Zugangsdaten auf dem Smartphone und Desktop und Laptop gleichermaßen verwalten. Dazu liegen sie in der Regel Ende-zu-Ende-verschlüsselt in der Cloud. Auch im Speicher sollten die Passwörter nur für kurze Zeit entschlüsselt liegen. Hier patzt Microsofts Passwort-Manager im Edge-Browser jedoch.

In einem Post auf X macht Tom Jøran Sønstebyseter Rønning auf das Problem aufmerksam. Ein einfacher Test bestätigt die Schwachstelle. Bei aktiviertem Passwort-Manager in Microsoft Edge haben wir ein Konto mit dem Kennwort „Klartext-PW-Test“ angelegt. Um diese Daten einzusehen, abzurufen oder zu ändern, verlangt Microsoft Edge nach einer Authentifizierung mit Windows Hello. Damit wirken die Daten gut geschützt.

Für die Überprüfung haben wir den Browser geschlossen und Microsoft Edge neu gestartet. Edge hat dabei nur die eigene Startseite angezeigt. Nun lässt sich mit dem Taskmanager ein Speicherabbild des Browsers erstellen. Rund 670 MByte landeten dabei auf dem Laufwerk. Hier drin lieferte eine einfache Suche mit einem Hex-Editor nach „Klartext“ das ganze „Klartext-PW-Test“-Passwort zurück – das Passwort wurde noch nicht einmal verwendet, ist aber im Klartext im Speicher.

Unsichere Passwort-Haltung

Derartiger Umgang mit Passwörtern im Prozessspeicher ist seit Langem nicht mehr Stand der Technik. Nach gängigen Sicherheitskonzepten sollten Passwörter erst zum Zeitpunkt des Gebrauchs entschlüsselt und sehr kurz darauf auch wieder aus dem Speicher gelöscht werden. Dass Microsoft hier sogar alle Passwörter in den Speicher lädt, obwohl nicht einmal die Webseiten besucht wurden, auf denen sie eingesetzt werden, ist zudem ein eklatanter Anachronismus. Dabei handelt es sich um eine eigene Schwachstellenkategorie: CWE-316, „Cleartext Storage of Sensitive Information in Memory“. Microsoft sollte hier zügig nachbessern. Allerdings berichtet Itavisen.no, dass Rønning von Microsoft zur Schwachstellenmeldung als Reaktion erhalten habe, dass das eine bewusste Design-Entscheidung und beabsichtigt sei. Nutzerinnen und Nutzer sollten sich daher zur Sicherheit nach anderen Passwort-Managern umsehen.

Bei seinem Passwort-Manager-Test im vergangenen Dezember hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) explizit den Microsoft-Edge-Passwortmanager ausgeklammert. Eine Prüfung von VPN-Software und Passwort-Managern im August 2024 fand jedoch ebenfalls derartige Schwachstellen in einigen Produkten.

(dmk)

Vergangene Woche hat die Cybergang ShinyHunters Daten vom Video-Dienst Vimeo ins Darknet gestellt, nachdem Vimeo offenbar kein Lösegeld dafür gezahlt hat. Jetzt hat das Have-I-Been-Pwned-Projekt sie aufgenommen: Rund 119.000 E-Mail-Adressen sind betroffen.

Vimeo hat bereits einen Datenabfluss eingeräumt. Der Anbieter hat demnach Kenntnis vom Einbruch beim Analysedienstleister Anodot. Unbefugte haben demnach auf bestimmte Vimeo-User- und -Kundendaten zugegriffen. Den Untersuchungen zufolge enthalten die Datenbanken im Wesentlichen technische Daten, Video-Titel und Metadaten sowie in einigen Fällen E-Mail-Adressen von Kunden. Es seien jedoch keine Vimeo-Videoinhalte, gültige Zugangsdaten von Nutzern oder Zahlungsinformationen darunter.

Daten bei Have-I-Been-Pwned eingepflegt

Betreiber Troy Hunt vom Have-I-Been-Pwned-Projekt (HIBP) hat nun die Daten mit einem Umfang von hunderten GByte erhalten und in die durchsuchbare Datenbank integriert. Die wuchs dadurch um 119.200 neue Einträge von E-Mail-Adressen an. Die Daten enthalten zudem neben der E-Mail-Adresse in einigen Fällen auch die Namen von Vimeo-Nutzern und -Nutzerinnen. Hauptsächlich besteht der Datenfundus demnach aber aus nicht weiter verwertbaren Videotiteln, technischen Daten und Metadaten.

Bösartige Akteure können jedoch die Daten wie E-Mail-Adressen und Namen für gezieltes und glaubwürdigeres Phishing missbrauchen – über die Inhaber ist immerhin bekannt, dass sie bei Vimeo registriert sind und dort etwa Videos schauen. Wer als Vimeo-Nutzer E-Mails mit diesbezüglichen Themen und Betreffs erhält, sollte daher aufmerksam bleiben und prüfen, ob die E-Mail tatsächlich echt sein kann.

Große Datenmengen, die die Cyberbande ShinyHunters gestohlen hat, landen öfter im HIBP-Fundus. Ende Februar kamen etwa Daten von 12,5 Millionen CarGurus-Kunden und -Kundinnen hinzu.

(dmk)

Liebe Leser*innen,

es gibt Vorhaben, über die haben wir gefühlt schon so oft berichtet, so häufig schon die Gefahren und Kritikpunkte zusammengefasst, dass es uns irgendwann so vorkommt, als sei doch längst alles gesagt. Doch was hilft es, wenn die Vorhaben trotzdem nicht verschwinden? Wenn sie ganz im Gegenteil mit großen Schritten weiter Richtung Gesetzgebung schreiten?

So ist es aktuell mit dem Überwachungspaket der Bundesregierung. Bereits vergangenen Sommer haben wir die Pläne aus dem Bundesinnenministerium geleakt, dann im März die Ministerienentwürfe analysiert. Vergangene Woche hat sich das Kabinett geeinigt und wir können das schlecht einfach aussitzen und warten, bis die Gesetze verabschiedet sind. Dafür sind die Befugnisse – Fotofahndung im Netz und KI-gestützte Datenanalysen – zu bedeutsam. Dafür berichten erstaunlicherweise auch andere Medien viel zu wenig darüber. Nach der Kabinettssitzung vergangene Woche schaffte es an vielen Stellen nur die Einigung zur Krankenkassenreform in die Schlagzeilen. Dass das Kabinett parallel die weitreichendsten Überwachungsbefugnisse seit langem beschlossen hat, war kaum Thema.

Wir haben deshalb nochmal zusammengefasst, was die Regierungskoalition plant und was das für Grundrechte bedeuten würde.

Habt einen guten Tag

Chris