Mozilla извинилась перед своими пользователями за неосвещение ситуации в
области безопасности, вызванной
кражей SSL сертификатов из
филиала компании Comodo.
Кража произошла 15 марта, когда неизвестный злоумышленник вторгся в
южно-европейский филиал Comodo и смог получить девять липовых SSL сертификатов
во время двухчасового проникновения.
Атака была замечена во время ее осуществления и все сертификаты были
немедленно аннулированы, но Mozilla не опубликовала данную информацию и, более
того, попросила корпорацию Tor project запретить публикацию данных новостей
когда ее сотрудники заметили изменения.
"Mozilla не опубликовала полученную информацию перед выпуском патча. При
обсуждении вопроса мы пришли к мнению, что любая демонстрация нашей
осведомленности об атаке приведет к тому, что злоумышленники также заблокируют
наше обновление безопасности", - написали члены группы безопасности Mozilla в
блоге.
"Данные действия, несмотря на благие намерения, были неправильным решением.
Мы должны были раньше проинформировать наших пользователей об угрозе, а также о
возможных способах смягчения отрицательных последствий и о их побочных
эффектах".
Comodo говорит, что выбор мишеней, а также месторасположение злоумышленников
и методы, использованные ими при осуществлении атаки, указывают на то, что это
была операция, спонсируемая иранским правительством. Среди выбранных мишеней
были Mozilla, Google, Yahoo и Skype.
Тем не менее, Mozilla также сделала прямо выраженную оговорку относительно
процесса сертификации компании Comodo и уровня доступа, дозволенного ее
филиалам. Mozilla потребовала от компании предоставить полный отчет о данном
инциденте и установить технологический регламент.
