VeriSign坚称DNS网络安全无虞,但对哪些SSL凭证遭破解支吾其词。向来协助全球最多因特网使用者用来判定前往的网站是否正确,此外还曾经是全球最大的加密凭证发放机构的网络安全公司VeriSign,承认曾经在2010年多次遭到黑客成功入侵。
VeriSign是在2011年秋季,在呈交给美国证管会(SEC)的文件中坦承了相关事项,但却直到2日路透社报道证管会对于企业在遇到此类事件时该如何揭露的新规定时,才终于曝光。
「2010年时,本公司曾经数度遭黑客成功入侵到企业内网,并且取得小部分计算机与服务器的访问权限。」VeriSign在2011年10月发给SEC的季报中如此表示。VeriSign确认有部分数据被攻击者窃走,但同时也说明已经采用了新的防御措施。
「这事件非同小可,」信息安全公司Imperva安全策略总监Rob Rachwald表示,关注黑客到底从VeriSign偷走了什么。一直到2010年8月之前,VeriSign都是全球最大的SSL凭证发放组织。该年5月,赛门铁克(Symantec)宣布买下VeriSign的认证业务,当中包含SSL凭证产生业务,这桩总值高达12亿美元的交易在同年的8月9日完成。
「如果一个(SSL)的根证书遭到破解,或是攻击者取得关于SSL凭证的信息,用户的大门等于是完全对攻击者敞开。」企业存取管理软件业者FoxT执行长Subhash Tantry表示。不幸的是,Rachwald与该公司的资深安全策略师Noa Bar Yosef则认为,从目前已知的信息很难分析情况到底有多糟。
