De Duitse overheid heeft een security-audit van de Bitwarden-browserextensie en Vaultwarden Server gepubliceerd, twee oplossingen waarmee gebruikers en organisaties hun wachtwoorden kunnen beheren. Er werden in totaal twaalf beveiligingsproblemen gevonden, waaronder twee kritieke.
De eerste kritieke kwetsbaarheid betreft de ‘Emergency Access’ feature van Vaultwarden. Hierbij kan een gebruiker een noodcontact opgeven die na een bepaalde tijd toegang tot zijn of haar account kan krijgen. Daarbij kunnen ook verschillende toegangsniveaus worden ingesteld. De kritieke kwetsbaarheid zorgt ervoor dat een opgegeven gebruiker de ingestelde voorwaarden kan aanpassen, zoals toegangsniveau tot opgeslagen inloggegevens en wachttijd.
Het tweede kritieke probleem bevindt zich ook in Vaultwarden. De oplossing biedt geen offboarding proces voor personen die een organisatie verlaten en het roteren van encryptiesleutels. Dit houdt in dat de master keys vereist voor datatoegang niet worden veranderd. Hierdoor kan een vertrekkende medewerker, van wie de toegang is ingetrokken, nog steeds de encryptiesleutels van de gegevens van de organisatie in handen hebben.
De tijdens de audit gevonden problemen zijn inmiddels verholpen. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, lanceerde in 2021 het ‘Code Analysis of Open Source Software’ (CAOS)-project. De bedoeling van dit project is het onderzoeken van opensourceprogramma’s waar steeds meer overheden en mensen gebruik van maken.
Eerder werd al gekeken naar communicatiesoftware Matrix, microbloggingplatform Mastodon en videoconferentiesoftware Jitsi en BigBlueButton. Onlangs verscheen ook de security-audit van wachtwoordmanager KeePass.