El sitio web de Trustico se oscurece después de que alguien cae falla crítica en Twitter

Una captura de pantalla que demuestra una vulnerabilidad crítica en el sitio web de Trustico antes de que dejara de estar disponibleAmpliar / Una captura de pantalla que demuestra una vulnerabilidad crítica en el sitio web de Trustico antes de que dejara de estar disponible. @ Manawyrm

El sitio web de Trustico se desconectó el jueves por la mañana, aproximadamente 24 horas después de que se reveló que el CEO de HTTPS con sede en el Reino Unido El revendedor certificado envió por correo electrónico 23,000 claves privadas a un socio.

Otras lecturas

23,000 certificados HTTPS eliminados después de que el CEO envía correos electrónicos a las claves privadas el cierre del sitio web se produjo poco después de que un experto en seguridad del sitio web reveló una vulnerabilidad crítica en Twitter que parecía hacer Es posible que extraños ejecuten código malicioso en Trustico servidores La vulnerabilidad, en una característica del sitio web trustico.com que permitió a los clientes confirmar que los certificados se instalaron correctamente en sus sitios, parecía ejecutarse como root. Al insertar comandos en el formulario de validación, los atacantes podrían llamar al código de su elección y hacer que se ejecute en servidores Trustico con “root” sin restricciones privilegios, indicaba el tweet.

“Si este es el caso, es tan malo como se pone”, dijo Seguridad El investigador Scott Helme le dijo a Ars.

Los representantes de Trustico no respondieron de inmediato a un correo electrónico buscando comentarios para esta publicación.

El experto en seguridad del sitio web que publicó la vulnerabilidad dijo en un tweet de seguimiento de que la falla crítica había sido publicada más temprano. No dijo dónde ni cuándo, y no respondió a mensajes que solicitaron esos detalles. Su perfil de Twitter lo identificó como el líder del capítulo local para Open Web Proyecto de seguridad de aplicaciones en Serbia.

Los críticos no perdieron el tiempo el miércoles atacando a Trustico siguiente palabra había estado archivando claves privadas de certificados, un práctica que generalmente viola la línea de base vinculante de la industria Requisitos establecidos por el foro del navegador de la autoridad de certificación. los la furia masiva se magnificó por el hecho de que las llaves estaban disponibles para el CEO de la compañía, en lugar de ser almacenado en máquinas aisladas, y que el CEO les envió en un correo electrónico. DigiCert identificó al CEO como Zane Lucas El sitio web de Trustico citó el título de Lucas como director.

Eric Mill, un experto en infraestructura de clave pública, dijo que estaba desgarrado sobre si publicar la vulnerabilidad en Twitter era justificado.

“Solo porque estás acumulando en una empresa que está haciendo las cosas irresponsables no permiten hacer una divulgación pública ” le dijo a Ars. Al mismo tiempo, señaló, algunos funcionarios de Trustico han afirmado públicamente que la creciente crítica contra ellos es difamatorio y ha usado otro lenguaje para indicar que pueden tomar acción legal contra los críticos. Esos tipos de comportamiento a menudo tienen un efecto escalofriante en formas más responsables de vulnerabilidad divulgar. Finalmente, dijo Mill, “hay argumentos sobre ambos lados “.

Publicación actualizada para agregar detalles sobre el CEO en el penúltimo párrafo.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: