- 25,281
- 46
- 8 Ноя 2022
Исследователи поражены тем, насколько грубую ошибку допустила компания.
Китайская компания Qihoo 360, один из крупнейших игроков на рынке кибербезопасности, оказалась в центре инцидента из-за собственной ошибки. В публичный установщик нового ИИ-помощника попал приватный SSL-ключ, который позволяет подтверждать подлинность серверов компании.
Проблему обнаружил специалист по безопасности Лукаш Олейник. В установочном файле ассистента 360 Security Claw, созданного на базе открытого проекта OpenClaw, он нашёл незащищённый архив с действующим SSL -сертификатом для домена «myclaw.360[.]cn». Достаточно распаковать установщик любым базовым инструментом, чтобы извлечь ключ.
Сертификат действует до апреля 2027 года и распространяется на все поддомены платформы. Фактически, речь идёт о мастер-ключе, который открывает доступ к аутентификации трафика внутри инфраструктуры сервиса.
Ситуацию усугубляет масштаб компании. Qihoo 360 обслуживает сотни миллионов пользователей и занимает доминирующее положение на китайском рынке кибербезопасности , сопоставимое с ролью Norton или McAfee на глобальном уровне. При запуске продукта основатель компании Чжоу Хунъи подчёркивал, что система не допускает утечек паролей.
Попадание такого ключа в открытый доступ создаёт серьёзные риски. Злоумышленники могут выдавать себя за серверы компании, перехватывать пользовательский трафик или разворачивать фишинговые страницы , которые браузеры будут воспринимать как полностью легитимные. Использование настоящих сертификатов уже стало заметной тенденцией в киберпреступной среде, а подобная утечка значительно упрощает атаки.
На момент публикации Qihoo 360 не прокомментировала ситуацию и не сообщила об отзыве скомпрометированного сертификата — стандартной меры, которая применяется при подобных утечках данных .
Китайская компания Qihoo 360, один из крупнейших игроков на рынке кибербезопасности, оказалась в центре инцидента из-за собственной ошибки. В публичный установщик нового ИИ-помощника попал приватный SSL-ключ, который позволяет подтверждать подлинность серверов компании.
Проблему обнаружил специалист по безопасности Лукаш Олейник. В установочном файле ассистента 360 Security Claw, созданного на базе открытого проекта OpenClaw, он нашёл незащищённый архив с действующим SSL -сертификатом для домена «myclaw.360[.]cn». Достаточно распаковать установщик любым базовым инструментом, чтобы извлечь ключ.
Сертификат действует до апреля 2027 года и распространяется на все поддомены платформы. Фактически, речь идёт о мастер-ключе, который открывает доступ к аутентификации трафика внутри инфраструктуры сервиса.
Ситуацию усугубляет масштаб компании. Qihoo 360 обслуживает сотни миллионов пользователей и занимает доминирующее положение на китайском рынке кибербезопасности , сопоставимое с ролью Norton или McAfee на глобальном уровне. При запуске продукта основатель компании Чжоу Хунъи подчёркивал, что система не допускает утечек паролей.
Попадание такого ключа в открытый доступ создаёт серьёзные риски. Злоумышленники могут выдавать себя за серверы компании, перехватывать пользовательский трафик или разворачивать фишинговые страницы , которые браузеры будут воспринимать как полностью легитимные. Использование настоящих сертификатов уже стало заметной тенденцией в киберпреступной среде, а подобная утечка значительно упрощает атаки.
На момент публикации Qihoo 360 не прокомментировала ситуацию и не сообщила об отзыве скомпрометированного сертификата — стандартной меры, которая применяется при подобных утечках данных .
- Источник новости
- www.securitylab.ru
