Хакеры смогли украсть более 200 SSL-сертификатов

Согласно последним данным, реальные потери от утечки SSL-сертификатов голландского эмитента DigiNotar может оказаться весьма значительным. Как отмечает Ханс Ван де Лой (Hans Van de Looy), старший технический консультант компании Madison Gurka, неизвестные хакеры могли похитить не только цифровые сертификаты Google, но и Mozilla, Yahoo, и других крупных компаний, а также некоммерческого проекта torproject.org (позволяющего людям анонимно связываться друг с другом и в особенности распространенного в станах с интернет-цензурой).

Компания Mozilla уже подтвердила факт кражи своих сертификатов, подчеркнув при этом, что утечка произошла с ресурса addons.mozilla.com, похищенные SSL-сертификаты будут перевыпущены в ближайшее время.

По информации технического специалиста компании Sophos Чета Вишневски (Chet Wisniewski), всего было похищено 247 SSL-сертификатов. При этом эксперт обращает особое внимание не тот факт, что и эмитент, и пострадавшие компании медленно реагируют на инцидент и не представляют данных о нем, что может негативно сказаться на безопасности конечных пользователей сервисов Google, Mozilla, пр. Кроме того, компании DigiNotar пока не удалось установить, когда именно была произведена кража. Принимая во внимание время выпуска SSL-сертификатов и дату последней проверки, можно заключить, что хищение было совершено в период с 26 июля по 27 августа 2011 г., и до сих пор нет свидетельств того, что краденные сертификаты были использованы на практике.