Trustico ยอมรับ เก็บ Private Key จากใบรับรอง SSL ของลูกค้าจริง

Trustico ตัวแทนจำหน่ายใบรับรอง SSL ชื่อดังจากสหราชอาณาจักรออกมายอมรับแล้วแอบเก็บ Private Keys จากใบรับรอง SSL บางส่วนของลูกค้าจริง หลังเกิดเหตุพิพาทกับ DigiCert จนนำไปสู่การเพิกถอนใบรับรอง SSL ลูกค้ากว่า 23,000 ใบ

Credit: wk1003mike/ShutterStock

เหตุการณ์นี้สืบเนื่องมาจากการที่ Trustico ต้องการเพิกถอนใบรับรอง SSL 50,000 ใบของ Symantec (ตอนนี้เป็นส่วนหนึ่งของ DigiCert) และหยุดสัญญากับทาง DigiCert เพื่อไปต่อสัญญาใหม่กับทาง Comodo แต่ทาง DigiCert ปฏิเสธโดยให้เหตุผลว่า ตัวแทนจำหน่ายไม่ควรขอเพิกถอนใบรับรองโดยไม่ได้รับความยินยอมจากลูกค้า เว้นแต่จะเป็นกรณีที่ใบรับรองดังกล่าวถูกแฮ็ค ทาง Trustico จึงได้ส่งเมลถึงประกอบด้วย Priivate Key ของลูกค้าจำนวนมากกว่า 23,000 รายให้แก่ DigiCert ส่งผลให้ DigiCert เข้าใจว่าใบรับรอง SSL ที่ใช้ Private Keys เหล่านี้ถูกแฮ็ก จึงส่งเมลแจ้งเตือนลูกค้าและเริ่มดำเนินการเพิกถอนใบรับรอง

อย่างไรก็ตาม Trustico ออกมาปฏิเสธรายงานของ DigiCert ระบุว่าทางบริษัทไม่ได้เกิดเหตุผิดปกติด้านความมั่นคงปลอดภัยใดๆ และไม่เคยแจ้ง DigiCert ด้วยว่า Private Key ที่ส่งให้ไปนั้นถูกแฮ็ก ทำให้ทั้ง DigiCert และผู้เชี่ยวชาญหลายคนสงสัยว่า Trustico กำลังละเมิดมาตรฐานของผู้ให้บริการ SSL Certificate โดยแอบเก็บ Private Keys ของลูกค้าโดยไม่ได้รับอนุญาต ส่งผลให้ลูกค้าอาจถูกปลอมตัวหรือดักฟังข้อมูลการเข้าถึงเว็บไซต์ได้

ล่าสุด Trustico ได้ออกแถลงการณ์ยอมรับว่าดำเนินการเก็บข้อมูล Private Keys ของใบรับรอง SSL ลูกค้าจริง โดยระบุเหตุผลว่าเพื่อใช้ในกระบวนการเพิกถอน (Revocation) ใบรับรอง และข้อมูลถูกเก็บใน Cold Storage แต่ไม่มีการถามความสมัครใจจากลูกค้าแต่อย่างใด ที่น่าตกใจคือ จากการตรวจสอบพบว่าฟอร์มที่ทำ Certificate Signing Request (CSR) หรือใช้สร้างกุญแจเข้ารหัสมีการทำงานร่วมกับฟอร์ม JavaScript จากกอีก 5 – 6 บริษัทอย่างต่ำ (รวมไปถึงผู้ให้บริการโฆษณา) ส่งผลให้บริษัทเหล่านั้นอาจเข้าถึง Private Keys ของลูกค้าได้ นอกจากนี้ ยังพบอีกว่าใบรับรอง SSL บางใบถูกใช้สำหรับระบบอีเมลของธนาคารบางแห่งอีกด้วย อย่างไรก็ตาม ไม่มีหลักฐานยืนยันว่า Trustico นำ Private Keys ของลูกค้าไปใช้ในทางที่ไม่พึงประสงค์

สุดท้าย Trustico ระบุในแถลงการณ์ว่า มันเป็นสิทธิ์ตามสัญญาของเขาที่จะเปลี่ยนการเป็นพาร์ทเนอร์ขายใบรับรองจาก DigiCert ไปเป็น Comodo เนื่องจากปัญหาด้านความมั่นคงปลอดภัยของ Symantec

ที่มา: https://www.bleepingcomputer.com/news/security/trustico-states-they-stored-private-keys-for-customers-ssl-certificates/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบบั๊กบน Facebook API รูปภาพของผู้ใช้กว่า 6.8 ล้านคนเสี่ยงหลุดสู่ภายนอก

Facebook ออกแถลงการณ์ พบบั๊กบน Application Programming Interface (API) สำหรับรูปภาพบนแพลตฟอร์มโซเชียลมีเดียของตน ซึ่งอาจทำให้บุคคลที่สามสามารถเข้าถึงรูปภาพของผู้ใช้กว่า 6,800,000 คนเกินกว่าที่กำหนดไว้ได้โดยไม่ได้รับอนุญาต

สหรัฐฯ เตือนประชาชนอยู่ในความสงบ หลังพบอีเมลสแปมขู่วางระเบิดทั่วสหรัฐฯ

ตำรวจและหน่วยงานบังคับใช้กฎหมายที่เกี่ยวข้องของสหรัฐฯ ออกมาแจ้งเตือนให้ประชาชนอยู่ในความสงบ หลังพบแคมเปญอีเมลสแปมขู่วางระเบิดแพร่กระจายในหลายเมือง ไม่ว่าจะเป็นนิวยอร์ก ชิคาโก ดีทรอยต์ ซาน ฟรานซิสโก และวอชิงตัน หากไม่ยอมจ่ายค่าไถ่ $20,000 (ประมาณ 650,000 บาท) ส่งผลให้เกิดความวุ่นวายและการอพยพหนีออกจากอาคารไปทั่วทั้งสหรัฐฯ