Trustico ยอมรับ เก็บ Private Key จากใบรับรอง SSL ของลูกค้าจริง

Trustico ตัวแทนจำหน่ายใบรับรอง SSL ชื่อดังจากสหราชอาณาจักรออกมายอมรับแล้วแอบเก็บ Private Keys จากใบรับรอง SSL บางส่วนของลูกค้าจริง หลังเกิดเหตุพิพาทกับ DigiCert จนนำไปสู่การเพิกถอนใบรับรอง SSL ลูกค้ากว่า 23,000 ใบ

Credit: wk1003mike/ShutterStock

เหตุการณ์นี้สืบเนื่องมาจากการที่ Trustico ต้องการเพิกถอนใบรับรอง SSL 50,000 ใบของ Symantec (ตอนนี้เป็นส่วนหนึ่งของ DigiCert) และหยุดสัญญากับทาง DigiCert เพื่อไปต่อสัญญาใหม่กับทาง Comodo แต่ทาง DigiCert ปฏิเสธโดยให้เหตุผลว่า ตัวแทนจำหน่ายไม่ควรขอเพิกถอนใบรับรองโดยไม่ได้รับความยินยอมจากลูกค้า เว้นแต่จะเป็นกรณีที่ใบรับรองดังกล่าวถูกแฮ็ค ทาง Trustico จึงได้ส่งเมลถึงประกอบด้วย Priivate Key ของลูกค้าจำนวนมากกว่า 23,000 รายให้แก่ DigiCert ส่งผลให้ DigiCert เข้าใจว่าใบรับรอง SSL ที่ใช้ Private Keys เหล่านี้ถูกแฮ็ก จึงส่งเมลแจ้งเตือนลูกค้าและเริ่มดำเนินการเพิกถอนใบรับรอง

อย่างไรก็ตาม Trustico ออกมาปฏิเสธรายงานของ DigiCert ระบุว่าทางบริษัทไม่ได้เกิดเหตุผิดปกติด้านความมั่นคงปลอดภัยใดๆ และไม่เคยแจ้ง DigiCert ด้วยว่า Private Key ที่ส่งให้ไปนั้นถูกแฮ็ก ทำให้ทั้ง DigiCert และผู้เชี่ยวชาญหลายคนสงสัยว่า Trustico กำลังละเมิดมาตรฐานของผู้ให้บริการ SSL Certificate โดยแอบเก็บ Private Keys ของลูกค้าโดยไม่ได้รับอนุญาต ส่งผลให้ลูกค้าอาจถูกปลอมตัวหรือดักฟังข้อมูลการเข้าถึงเว็บไซต์ได้

ล่าสุด Trustico ได้ออกแถลงการณ์ยอมรับว่าดำเนินการเก็บข้อมูล Private Keys ของใบรับรอง SSL ลูกค้าจริง โดยระบุเหตุผลว่าเพื่อใช้ในกระบวนการเพิกถอน (Revocation) ใบรับรอง และข้อมูลถูกเก็บใน Cold Storage แต่ไม่มีการถามความสมัครใจจากลูกค้าแต่อย่างใด ที่น่าตกใจคือ จากการตรวจสอบพบว่าฟอร์มที่ทำ Certificate Signing Request (CSR) หรือใช้สร้างกุญแจเข้ารหัสมีการทำงานร่วมกับฟอร์ม JavaScript จากกอีก 5 – 6 บริษัทอย่างต่ำ (รวมไปถึงผู้ให้บริการโฆษณา) ส่งผลให้บริษัทเหล่านั้นอาจเข้าถึง Private Keys ของลูกค้าได้ นอกจากนี้ ยังพบอีกว่าใบรับรอง SSL บางใบถูกใช้สำหรับระบบอีเมลของธนาคารบางแห่งอีกด้วย อย่างไรก็ตาม ไม่มีหลักฐานยืนยันว่า Trustico นำ Private Keys ของลูกค้าไปใช้ในทางที่ไม่พึงประสงค์

สุดท้าย Trustico ระบุในแถลงการณ์ว่า มันเป็นสิทธิ์ตามสัญญาของเขาที่จะเปลี่ยนการเป็นพาร์ทเนอร์ขายใบรับรองจาก DigiCert ไปเป็น Comodo เนื่องจากปัญหาด้านความมั่นคงปลอดภัยของ Symantec

ที่มา: https://www.bleepingcomputer.com/news/security/trustico-states-they-stored-private-keys-for-customers-ssl-certificates/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

รู้จักกับ Secure Access Service Edge (SASE) หัวใจแห่ง Network Security ในอนาคต

Gartner บริษัทวิจัยและให้คำปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน The Future of Network Security is in the Cloud บรรยายถึงแนวโน้มการเปลี่ยนผ่านด้านเครือข่ายและความมั่นคงปลอดภัยบนระบบ Cloud โดยนำเสนอโมเดลใหม่ที่เรียกว่า …

รายงานจาก Microsoft ชี้ตรวจพบ Malware, Ransomware และ Cryptominer ลดลงในปี 2019

ถ้าถามว่าใครจะมีข้อมูลของผู้ใช้งาน Windows มากที่สุด คงเถียงไม่ได้ว่าน่าจะเป็น Microsoft เนื่องจากเป็นเจ้าของ OS ซึ่งจากรายงานของปีนี้พบว่าภัยคุกคามประเภท Malware, Ransomware และ Cryptominer น้อยลงกว่ามีก่อน