Trustico ยอมรับ เก็บ Private Key จากใบรับรอง SSL ของลูกค้าจริง

Trustico ตัวแทนจำหน่ายใบรับรอง SSL ชื่อดังจากสหราชอาณาจักรออกมายอมรับแล้วแอบเก็บ Private Keys จากใบรับรอง SSL บางส่วนของลูกค้าจริง หลังเกิดเหตุพิพาทกับ DigiCert จนนำไปสู่การเพิกถอนใบรับรอง SSL ลูกค้ากว่า 23,000 ใบ

Credit: wk1003mike/ShutterStock

เหตุการณ์นี้สืบเนื่องมาจากการที่ Trustico ต้องการเพิกถอนใบรับรอง SSL 50,000 ใบของ Symantec (ตอนนี้เป็นส่วนหนึ่งของ DigiCert) และหยุดสัญญากับทาง DigiCert เพื่อไปต่อสัญญาใหม่กับทาง Comodo แต่ทาง DigiCert ปฏิเสธโดยให้เหตุผลว่า ตัวแทนจำหน่ายไม่ควรขอเพิกถอนใบรับรองโดยไม่ได้รับความยินยอมจากลูกค้า เว้นแต่จะเป็นกรณีที่ใบรับรองดังกล่าวถูกแฮ็ค ทาง Trustico จึงได้ส่งเมลถึงประกอบด้วย Priivate Key ของลูกค้าจำนวนมากกว่า 23,000 รายให้แก่ DigiCert ส่งผลให้ DigiCert เข้าใจว่าใบรับรอง SSL ที่ใช้ Private Keys เหล่านี้ถูกแฮ็ก จึงส่งเมลแจ้งเตือนลูกค้าและเริ่มดำเนินการเพิกถอนใบรับรอง

อย่างไรก็ตาม Trustico ออกมาปฏิเสธรายงานของ DigiCert ระบุว่าทางบริษัทไม่ได้เกิดเหตุผิดปกติด้านความมั่นคงปลอดภัยใดๆ และไม่เคยแจ้ง DigiCert ด้วยว่า Private Key ที่ส่งให้ไปนั้นถูกแฮ็ก ทำให้ทั้ง DigiCert และผู้เชี่ยวชาญหลายคนสงสัยว่า Trustico กำลังละเมิดมาตรฐานของผู้ให้บริการ SSL Certificate โดยแอบเก็บ Private Keys ของลูกค้าโดยไม่ได้รับอนุญาต ส่งผลให้ลูกค้าอาจถูกปลอมตัวหรือดักฟังข้อมูลการเข้าถึงเว็บไซต์ได้

ล่าสุด Trustico ได้ออกแถลงการณ์ยอมรับว่าดำเนินการเก็บข้อมูล Private Keys ของใบรับรอง SSL ลูกค้าจริง โดยระบุเหตุผลว่าเพื่อใช้ในกระบวนการเพิกถอน (Revocation) ใบรับรอง และข้อมูลถูกเก็บใน Cold Storage แต่ไม่มีการถามความสมัครใจจากลูกค้าแต่อย่างใด ที่น่าตกใจคือ จากการตรวจสอบพบว่าฟอร์มที่ทำ Certificate Signing Request (CSR) หรือใช้สร้างกุญแจเข้ารหัสมีการทำงานร่วมกับฟอร์ม JavaScript จากกอีก 5 – 6 บริษัทอย่างต่ำ (รวมไปถึงผู้ให้บริการโฆษณา) ส่งผลให้บริษัทเหล่านั้นอาจเข้าถึง Private Keys ของลูกค้าได้ นอกจากนี้ ยังพบอีกว่าใบรับรอง SSL บางใบถูกใช้สำหรับระบบอีเมลของธนาคารบางแห่งอีกด้วย อย่างไรก็ตาม ไม่มีหลักฐานยืนยันว่า Trustico นำ Private Keys ของลูกค้าไปใช้ในทางที่ไม่พึงประสงค์

สุดท้าย Trustico ระบุในแถลงการณ์ว่า มันเป็นสิทธิ์ตามสัญญาของเขาที่จะเปลี่ยนการเป็นพาร์ทเนอร์ขายใบรับรองจาก DigiCert ไปเป็น Comodo เนื่องจากปัญหาด้านความมั่นคงปลอดภัยของ Symantec

ที่มา: https://www.bleepingcomputer.com/news/security/trustico-states-they-stored-private-keys-for-customers-ssl-certificates/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

แก๊งแฮ็กเกอร์จีนถูกจับนับสิบ หลังลอบวาง Cryptominer บนอินเทอร์เน็ตคาเฟ่กว่า 30 แห่ง

เว็บไซต์หนังสือพิมพ์จีน Hangzhou ออกมาเปิดเผย สัปดาห์ที่ผ่านมา ตำรวจจีนได้จับกุมตัวแก๊งแฮ็กเกอร์จำนวน 16 คนซึ่งทำงานในบริษัท IT แห่งหนึ่ง หลังลอบวาง Cryptocurrency Miner ในร้านอินเทอร์เน็ตคาเฟ่รวมแล้วถึง 30 แห่งทั่วประเทศจีน

เตือนช่องโหว่ Wavethrough บนเบราว์เซอร์ เสี่ยงถูกขโมยข้อมูลความลับ

Jake Archibald นักวิจัยและนักพัฒนาจาก Google ออกมาแจ้งเตือนถึงช่องโหว่ความรุนแรงสูงบนเว็บเบราว์เซอร์สมัยใหม่อย่าง Microsoft Edge และ Mozilla Firefox ซึ่งช่วยให้เว็บไซต์ที่ผู้ใช้เข้าถึงสามารถขโมยข้อมูลจากเว็บไซต์อื่นๆ เช่น ข้อมูลล็อกอิน ที่เปิดใช้บนเบราว์เซอร์เดียวกันได้