Еще один официальный партнер поставщика сертификатов SSL Comodo пострадал от
проникновения, который позволил злоумышленникам получить несанкционированный
доступ к данным.

ComodoBR в Бразилии является, по меньшей мере, четвертым партнером Comodo,
взломанным в этом году. В марте серверы регистрационного центра были взломаны
злоумышленниками, которые использовали возможность доступа для
выпуска поддельных
сертификатов
на базе ключей шифрования Comodo. Компания Comodo признала, что
еще два ее партнера подверглись такого же рода атакам, хотя никакие ключи
выпущены не были.

Comodo пока не назвала имена партнеров.

В ходе атаки на ComodoBR с использованием SQL-инъекции, хакерам удалось
попасть на сервер баз данных сайта. Злоумышленники опубликовали два файла,
которые содержали информацию, связанную с запросами на подпись сертификатов, а
также email адреса, пользовательские ID и информацию о паролях ограниченного
числа сотрудников.

Президент и генеральный директор Comodo Мели Абдулаоглы сообщил, что системы
Comodo никогда не были взломаны. Он также отметил, что в результате бреши не
было выпущено ни одного сертификата, и что у данного партнера не было доступа к
базам данных Comodo.

"Итак, коротко: это SQL-атака (достаточно распространенное явление) на
компанию в Бразилии, которая продает наши продукты", — написал он в email. "Не о
чем докладывать на самом деле".

Атака произошедшая в марте, которая нанесла удар по неназванному партнеру
Comodo в Южной Европе, позволила злоумышленникам
зарегистрировать
мошеннические сертификаты
для веб-сайтов с интенсивным сетевым трафиком,
включая Google Mail, www.google.com, login.yahoo.com, login.skype.com,
addons.mozilla.com и принадлежащий Microsoft login.live.com.

Компания Comodo отреагировала отменив права подписи для всех своих партнеров
и внедрив для использования ими систему двухфакторной аутентификации.

Абдулаоглы сообщил, что все партнеры, продающие сертификаты Comodo, обязаны
соответствовать Payment
Card Industry Data Security Standards
(стандарту безопасности данных
индустрии платежных карт). Он не назвал других требований безопасности, которые
должны выполнять регистрационные центры.



Оставить мнение