לזכור סיסמאות זה קשה, אנחנו יודעים - במיוחד מאחר שאנחנו מאמינים שכל אחד ואחד מקוראינו ממלא אחר ההמלצה הבסיסית להשתמש בסיסמה נפרדת לכל אתר (טוב, נו, אולי רק לכל עשרה אתרים). אבל אתם יודעים מה יותר קשה? להתמודד עם דליפה של סיסמאות בגלל שלתוכנה שאמורה לזכור את כל הסיסמאות האלו במקומכם יש פרצת אבטחה.
זה בדיוק מה שגילה טאביס אורמנדי, חוקר אבטחה בגוגל, ביום חמישי האחרון. אורמנדי שם לב שבעותק עדכני של ווינדוס 10 שהוריד מאתר המפתחים שלה שולב זוכר הסיסמאות Keeper. הוא שולב בצורה אגרסיבית למדי, ששידלה את אורמנדי (כמו את יתר המשתמשים שהורידו את אותה גרסה של ווינדוס) להפעיל את התוכנה כדי שתאסוף את הסיסמאות שהוא מקליד בדפדפנים ותזכור אותן במקומו.
עד כאן הכל טוב ויפה. זוכרי סיסמאות הם לא רעיון רע, במיוחד כשלכל אחד יש מאות חשבונות ברשת ובכל אחד מהם הוא אמור להשתמש בסיסמה שונה. אלא שאורמנדי נזכר שבשנה שעברה מצא באותו זוכר סיסמאות פרצת אבטחה שאיפשרה לכל אתר לגנוב סיסמאות ששמורות בתוכנה על ידי זיוף של טופס מילוי השם והסיסמה של האתר המבוקש.
אז רק כדי לוודא, הוא בדק אם הפרצה שמצא (ותוקנה) אז סגורה - ולהפתעתו הוא גילה שאותה פרצה בדיוק קיימת גם בגרסה העדכנית. אורמנדי מיהר לדווח על הבאג, תוך שהוא רומז שמדובר בשערוריה של ממש ושלחברה לא מגיע אפילו לזכות בפרק זמן של 90 יום לתקן את הפרצה לפני שיחשוף אותה לציבור.
החברה, מצידה, תיקנה את הפרצה תוך יממה - אך הפרט המדאיג בסיפור הוא שבמשך שמונה ימים (כן, זו התקופה הזו בשנה שבה הכל בשמיניות. שמונת ימי חנוכה, 8 הצגות ילדים ביום, 8 שעות בפקקים, סיסמאות של שמונה תווים - שהן פאסה! פאסה! בחיאת, תעשו לעצמכם טובה ותשתמשו לפחות ב-10 תווים) מיקרוסופט הפיצה גרסה של ווינדוס שמעודדת אנשים להשתמש בתוכנה שכוללת פרצת אבטחה ענקית. דובר מטעם החברה אף סירב לפרט בתגובה לאתר Arstechnica האם החברה בודקת תוכנות צד שלישי לפני שהיא מחליטה אם לצרף אותן לווינדוס.
נציין שהתוכנה זמינה לכל מערכות ההפעלה - ווינדוס, מק, לינוקס, אנדרואיד ו-iOS, וכתוסף לדפדפנים כרום, פיירפוקס ואדג' במחשבים, ובכולן היתה אותה פרצת אבטחה, אך רק ווינדוס ניסתה לשדל משתמשים להפעיל את התוכנה.