360回应安全龙虾私钥泄露:系发布失误
DoNews3月17日消息,3月16日晚,针对旗下产品“360安全龙虾”被曝私钥泄露一事,360公司作出正式回应,明确表示已第一时间吊销涉事SSL证书,目前该证书已完全失效,从技术层面阻断了攻击者利用该私钥伪造服务器、劫持流量的可能,普通用户不会受到此次事件影响。
360方面解释,此次私钥泄露源于产品发布环节的操作失误,导致内部域名的网站证书被意外打包至公开安装包中,公司已启动内部排查流程,将进一步优化安全管理机制,防范类似疏漏再次发生。
3月14日,360集团宣布推出“360安全龙虾”智能体应用客户端及“360安全龙虾Box”硬件终端,并发布专门应对OpenClaw(龙虾)安全问题的“360龙虾卫士”。
3月16日,安全社区研究人员在解压该产品安装包时,发现其特定路径下存在明文存储的泛域名SSL证书及对应RSA私钥。
作为核心安全凭证,该证书的私钥一旦泄露,攻击者理论上可借此伪造相关域名的HTTPS服务,实施中间人攻击,进而窃取用户数据、传播恶意程序等。
作为以网络安全为核心业务的厂商,360此次将内部私钥意外打包进公开安装包,被行业内视为较为严重的安全疏漏。
(来源:DoNews)
关联资讯:
荐
荐
荐
荐
荐
荐
