Die Trustico-Website wird dunkel, nachdem jemand abgefallen ist kritischer Fehler auf Twitter

Ein Screenshot zeigt eine kritische Sicherheitsanfälligkeit auf der Trustico-Website, bevor sie nicht mehr verfügbar war.Vergrößern / Ein Screenshot, der eine kritische Sicherheitsanfälligkeit aufzeigt die Trustico-Website, bevor sie nicht mehr verfügbar war. @ Manawyrm

Die Website für Trustico ging am Donnerstagmorgen ungefähr offline 24 Stunden später wurde bekannt, dass der CEO des in Großbritannien ansässigen HTTPS Der Zertifikat-Reseller hat 23.000 private Schlüssel per E-Mail an einen Partner gesendet.

Weitere Lektüre

23.000 HTTPS-Zertifikate werden gesperrt, nachdem der CEO private Schlüssel per E-Mail gesendet hat Die Schließung der Website erfolgte kurz nach einem Website-Sicherheitsexperten offenbarte eine kritische Sicherheitslücke auf Twitter, die offenbar beseitigt wurde Es ist für Außenstehende möglich, schädlichen Code auf Trustico auszuführen Server. Die Sicherheitslücke in einer Website von trustico.com weist das auf Kunden dürfen bestätigen, dass Zertifikate ordnungsgemäß installiert wurden auf ihren Websites schien als root ausgeführt. Durch Einfügen von Befehlen in Über das Validierungsformular können Angreifer Code ihrer Wahl aufrufen und Lass es auf Trustico-Servern mit uneingeschränktem “root” laufen Privilegien, der Tweet angezeigt.

“Wenn dies der Fall ist, ist es ungefähr so ​​schlimm wie es nur geht”, sagte Sicherheit Der Forscher Scott Helme sagte gegenüber Ars.

Vertreter von Trustico antworteten nicht sofort auf eine E-Mail Ich suche einen Kommentar für diesen Beitrag.

Der Website-Sicherheitsexperte, der die Sicherheitsanfälligkeit veröffentlicht hat, sagte in ein Follow-up-Tweet, dass der kritische Fehler veröffentlicht worden war vorhin. Er sagte nicht wo oder wann und er antwortete nicht Nachrichten, die nach diesen Details fragten. Sein Twitter-Profil identifizierte ihn als den lokalen Chapter Leader für das Open Web Anwendungssicherheitsprojekt in Serbien.

Kritiker haben am Mittwoch keine Zeit damit verschwendet, sich auf Trustico zu stürzen Folgendes Wort war es gewesen, private Schlüssel des Zertifikats zu archivieren, a Praktiken, die im Allgemeinen gegen die branchenübliche Grundlinie verstoßen Vom Certificate Authority Browser Forum festgelegte Anforderungen. Das Die Wut der Massen wurde durch die Tatsache verstärkt, dass die Schlüssel für das Internet zur Verfügung standen CEO des Unternehmens, anstatt auf isolierten Maschinen gespeichert zu werden, und dass der CEO sie in einer E-Mail geschickt. DigiCert identifizierte den CEO als Zane Lucas. Auf der Website von Trustico wurde Lucas ‘Titel als Regisseur genannt.

Eric Mill, Experte für Public-Key-Infrastruktur, gab dies an zerrissen darüber, ob das Posten der Sicherheitslücke auf Twitter war gerechtfertigt.

“Nur weil du dich auf eine Firma stürzst, die das macht unverantwortliches Zeug macht es nicht OK, eine öffentliche Bekanntgabe zu machen. ” er erzählte Ars. Gleichzeitig bemerkte er einige Trustico-Beamte Ich habe öffentlich behauptet, dass die Kritik gegen sie zunimmt diffamierend und haben andere Sprache verwendet, um anzuzeigen, dass sie nehmen können rechtliche Schritte gegen Kritiker. Diese Verhaltensweisen haben oft eine abschreckende Wirkung auf verantwortungsbewusstere Formen der Verwundbarkeit Offenlegung. Letztendlich sagte Mill: “Es gibt Argumente zu beiden Seiten. ”

Beitrag aktualisiert, um Details zum CEO im vorletzten Abschnitt hinzuzufügen Absatz.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: