江蘇
關鍵詞
數據泄露
昨日有網友發現“360 安全龍蝦”安裝包中包含了屬于 360 公司內部的 SSL 私鑰與證書。該私鑰對應域名為 *.myclaw.360.cn,為通配符證書,可作用于該域名下的全部子站點。
針對這一安全疏漏,360 公司回應第一財經稱,已第一時間對涉事證書進行了吊銷處理。
360 方面表示,此次問題源于發布環節的失誤,導致內部域名的網站證書被意外打包進安裝包。問題發現后,公司已立即采取應急措施,完成對涉事證書的吊銷操作,從技術層面阻斷了攻擊者利用該私鑰偽造服務器、劫持流量的可能。目前該證書已經失效,從技術層面阻斷了被利用來偽造服務器或劫持流量的可能性,因此普通用戶不會因此受到影響。
據官方介紹,“360 安全龍蝦”的界面采用了定制版瀏覽器,其調用地址涉及對本地服務的 HTTPS 加密連接。
有技術分析指出,通常情況下,處理此類本地連接的正確方式應是使用自簽名證書或采用 HTTP 明文訪問,而直接將包含私鑰的網站證書置于本地環境中,雖能實現連接目的,但直接導致了密鑰的泄露。360 方面將此歸因于發布環節的失誤,并表示已完成應急處理。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
