Около 300 000 уникальных IP-адресов из Ирана запросили доступ к google.com
используя фальшивые сертификаты, изданные голландским
центром сертификации
DigiNotar, сообщается в предварительном отчете фирмы Fox-IT, опубликованном
в понедельник.
Фальшивые сертификаты, выпущенные 10 июля DigiNotar, были заблокированы
только29 августа.
"Было обнаружено около 300 000 уникальных IP-адресов, запрашивающих доступ к
google.com", - говорится в докладе Fox-IT. 4 августа количество запросов резко
увеличилось и продолжало возрастать до тех пор, пока сертификат не был
заблокирован 29 августа. 99% этих IP-адресов были иранскими.
Список IP-адресов будет передан Google, а они, в свою очередь, сообщат
пользователям о том, что за их электронной перепиской, возможно, следили в
течение всего этого периода, сообщает Fox-IT.
Они также добавляют, что, скорее всего, кроме электронной почты также
перехватывались и данные cookie. При помощи этих cookie можно было
заходить прямо в почту Gmail и пользоваться другими службами Google.
"Куки сохраняются в течение долгого периода", - отмечают Fox-IT. Со стороны
пользователей в Иране было бы правильно, по меньшей мере, войти и выйти из
почты, а лучше даже поменять пароли.
По данным доклада, проанализировавшего IP-адреса, не имеющие отношения к
Ирану компьютеры представляли собой, по большей части,
конечные ноды Tor,
прокси-серверы и другие VPN-серверы, прямые пользователи практически
отсутствовали.
Список доменов и тот факт, что 99% пострадавших пользователей являются
жителями Ирана, позволяет предположить, что целью хакеров был перехват частной
переписки иранцев, комментируют Fox-IT.
Отчет Fox-IT так же говорит о том, что изначальная атака на DigiNotar могла
произойти еще 17 июля. В DigiNotar заметили заметили неполадки 19 июля, в ходе
обычной проверки, но, по всей видимости, ничего не предприняли. DigiNotar никак
не прокомментировала эту информацию.
Первый фальшивый сертификат *.google.com был издан 10 июня. Все другие
подделки были изданы между 10-м и 20-м июня.