Verisign ble hacket i 2010

Verisign ble hacket i 2010

Sertifikatutstederen innrømmer sikkerhetsbrudd, sikkerhetseksperter er bekymret.

Verisign, som en gang var verdens største utsteder av sikkerhetssertifikat, erkjenner at de flere ganger ble hacket i 2010. Innrømmelsen kommer etter en granskning utført av den amerikanske børsmyndigheten SEC, skriver Computerworlds nyhetstjeneste.

- Hackerne fikk fatt på en viss informasjon som var lagret på våre server og datamaskiner, skriver Verisign i en rapport til SEC.

Selskapet innrømmer at informasjonen var sensitiv, skriver Computerworlds nyhetstjeneste. Sikkerhetsbransjen er bekymret, ettersom Verisign per august 2010 var verdens største utsteder av sikekrehetssertifikater, såkalte SSL-sertifikat.

Potensiell angrepsfare

Disse sertifikatene brukes for å verifisere at tilkoblingen til ulike servere er sikre når du for eksempel surfer på sider som via https, sikkert http-tilkobling. Facebook sin https-tilkobling bruker for eksmepel Verisign, det samme gjør DNB.

- Om hackerne lyktes å få fatt på informasjon rundt sertifikatsikkerehten er brukeren vidåpne for angrep, sier Subhash Tantry fra selskapet Fox, som understereker at det dessverre ikke foreligger nok informasjon til å vurdere hvor alvorlig angrepet mot Verisign var.

- Det mangler mye detaljer i dette tilfellet. Jeg har sett det skje flere ganger, bedrifter utsettes for angrep og er etterpå tause om hva som egentlig har skjedd, sier Ben Yosef, sikkerhetsstrateg i Imperva.

Man-in-the-middle

Verisign har også ansvaret for .com, .net og .gov-domenene, og deres domenenavneservere håndterer hver dag mer enn 50 milliarder etterspørsler. Verisign tror ikke hackerne har kompromittert DNS-systemene, men kan heller ikke utelukke det.

Flere sikkerhetseksperter er nå urolige. Hvis informasjonen om sikkerhetssertifikat har lekket eller DNS-systemet er kompromittert, kan skurker bruke informasjonen til å gjennomføre såkalte mellommannsangrep, der de kan snike seg mellom brukeren og den faktiske tjenesten og avlytte trafikken.

Verisign Authentication Services, tidligere en del av Verisign, ble kjøpt av Symantec 9. august 2010 for 1,2 milliarder dollar. De har etter angrepet innført nye sikkerhetssystemer. Fra oktober 2011 må amerikanske selskaper som blir angrepet obligatorisk melde fra til SEC.

Les om: