Až 23 000 uniknutých certifikátov HTTPS ohrozilo údaje tisícov používateľov v sieti
Obsah:
Bezpečnosť našich údajov v sieti je opäť otázna Včera sme videli, ako možno zlepšiť bezpečnosť našich zariadení a domácu sieť umožňujúcu filtrovanie MAC z nášho smerovača. Nie je to neomylné, ale aspoň získame trochu ochrany navyše.
To je však k ničomu, ak sú naše údaje pri odchode do zahraničia vystavené rizikám, s ktorými sme spočiatku nerátali. A to sa stalo, keď obrovský únik skompromitoval niekoľko tisíc HTTPS certifikátovA je to tak, že tisíce týchto HTTPS certifikátov boli šírené prostredníctvom e-mailu.
Pred pokračovaním si ujasnite účel certifikátu HTTPS na webe. Toto je systém, ktorý zaručuje, že údaje, ktoré zadávame, sú end-to-end šifrované Týmto spôsobom sú naše údaje teoreticky chránené, kým neprídu na miesto určenia. Sú to webové stránky, ktoré namiesto zvyčajného HTTP uvádzajú svoju adresu písmenami HTTPS.
Nezodpovedný postoj?
Tento masívny (a nezodpovedný) únik zasiahol celkovo až 23 000 HTTPS certifikátov, takže webové stránky a domény, ktoré boli chránené tými 23 000 certifikátmi (to nie je nič), sú teraz plne vystavené. A tiež údaje v nich použité.
Pomyslime na stránky všetkých druhov, od webových stránok elektronického obchodu až po stránky bánk a dokonca aj oficiálne organizácie. Je to problém hĺbky, o ktorom ani nevieme.
Preložené podľa počtu používateľov môžeme získať predstavu. Môžu existovať tisíce, desiatky, stovky tisíc alebo dokonca milióny dotknutých používateľov, ktorí pristupujú k týmto webovým stránkam, ktorých certifikáty sú dostupné pre toho, kto ponúkne najvyššiu cenu.
Zdá sa, že e-mail odoslal generálny riaditeľ spoločnosti Trustico, spoločnosti, ktorá spravuje certifikáty TLS, ktoré overujú tieto stránky, výkonnému viceprezidentovi DigiCertDigiCert Jeremymu Rowleymu. Celkom, e-mail s prílohou obsahujúcou všetky kľúče (až do celkového počtu 23 000).
Správa, ktorá sa môže zdať vytrhnutá z humorného priestoru, ale bohužiaľ nie je. Je nesmierne nezodpovedné vystaviť takéto citlivé informácie riziku Nesmieme zabúdať, že e-mail nie je najbezpečnejším médiom.Budeme pozorne sledovať vývoj situácie.
Zdroj | ArsTechnica Obrázok | Wikipedia
