Новый взлом партнера Comodo привел к утечке приватной информации

Tweet

Еще один официальный партнер поставщика сертификатов SSL Comodo пострадал от проникновения, который позволил злоумышленникам получить несанкционированный доступ к данным.

ComodoBR в Бразилии является, по меньшей мере, четвертым партнером Comodo, взломанным в этом году. В марте серверы регистрационного центра были взломаны злоумышленниками, которые использовали возможность доступа для выпуска поддельных сертификатов на базе ключей шифрования Comodo. Компания Comodo признала, что еще два ее партнера подверглись такого же рода атакам, хотя никакие ключи выпущены не были.

Comodo пока не назвала имена партнеров.

В ходе атаки на ComodoBR с использованием SQL-инъекции, хакерам удалось попасть на сервер баз данных сайта. Злоумышленники опубликовали два файла, которые содержали информацию, связанную с запросами на подпись сертификатов, а также email адреса, пользовательские ID и информацию о паролях ограниченного числа сотрудников.

Президент и генеральный директор Comodo Мели Абдулаоглы сообщил, что системы Comodo никогда не были взломаны. Он также отметил, что в результате бреши не было выпущено ни одного сертификата, и что у данного партнера не было доступа к базам данных Comodo.

"Итак, коротко: это SQL-атака (достаточно распространенное явление) на компанию в Бразилии, которая продает наши продукты", - написал он в email. "Не о чем докладывать на самом деле".

Атака произошедшая в марте, которая нанесла удар по неназванному партнеру Comodo в Южной Европе, позволила злоумышленникам зарегистрировать мошеннические сертификаты для веб-сайтов с интенсивным сетевым трафиком, включая Google Mail, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.com и принадлежащий Microsoft login.live.com.

Компания Comodo отреагировала отменив права подписи для всех своих партнеров и внедрив для использования ими систему двухфакторной аутентификации.

Абдулаоглы сообщил, что все партнеры, продающие сертификаты Comodo, обязаны соответствовать Payment Card Industry Data Security Standards (стандарту безопасности данных индустрии платежных карт). Он не назвал других требований безопасности, которые должны выполнять регистрационные центры.

• Иранские хакеры подделали сертификаты Google Gmail
  • Взлом и кража данных RSA: система идентификации SecurID под угрозой

• Иранский хакер признался в подделке SSL-сертификатов Comodo

• Пластиковая безопасность: Взгляд на аудит сквозь призму стандарта PCI DSS
  • Правила пентеста: аудит по стандарту PCI DSS
    • Лучшие инструменты пен-тестера: сниферы и работа с пакетами