VeriSign myöntää joutuneensa useiden tietomurtojen uhriksi - ei paljasta yksityiskohtia

http://www.tietoviikko.fi/kaikki_uutiset/verisign+myontaa+joutuneensa+useiden+tietomurtojen+uhriksi++ei+paljasta+yksityiskohtia/a769672

Verkkoinfrastruktuuriyhtiö VeriSign joutui vuoden 2010 aikana usean onnistuneen tietomurron kohteeksi, kirjoittaa PC World.
Murroista kerrottiin Yhdysvaltain arvopaperimarkkinoita valvovalle U.S. Securities and Exchange Commissionille (SEC) syksyllä, mutta ne tulivat julkisuuteen perjantaina uutistoimisto Reutersin selvitettyä SEC:n lokakuussa 2011 julkistamia tietomurtoja koskevia uusia käytäntöjä.
”Vuonna 2010 yhtiötä vastaan tehtiin useita onnistuneita hyökkäyksiä, joilla murtautujat saivat haltuunsa tietoja pieneltä osalta tietokoneita ja palvelimia”, VeriSign kertoi SEC:lle lokakuussa 2011 jätetyssä raportissaan.

Myöntää murrot

VeriSign ei ole paljastanut varastettujen tietojen tarkkaa määrää tai sisältöä. Yhtiö ei kuitenkaan usko rikollisten murtautuneen sen dns-nimipalvelujärjestelmän palvelimille.
Raportissaan VeriSign myöntää murrot sekä toteaa, että se ei voi taata pystyvänsä suojautumaan vastaavilta hyökkäyksiltä tulevaisuudessa, vaikka toki pyrkii siihen parhaansa mukaan.
”Lisäksi, vaikka emme toistaiseksi tiedä rikollisten hyödyntäneen varastettuja tietoja, emme voi taata etteikö niitä olisi käytetty tai tultaisi käyttämään tulevaisuudessa”, raportissa todetaan.

Spekulaatiot alkoivat

Puutteelliset tiedot tapahtumista käynnistivät spekulaatiot laillisten sertifikaattien päätymisestä vääriin käsiin.
Jos näin on, pystyvät rikolliset esimerkiksi keräämään tietoja tai levittämään haittaohjelmia aidoiksi luultujen verkkosivustojen avulla.
”Jos ssl-sertifikaattien päähakemistotason tiedot ovat olleet alttiina hyökkäykselle tai jos murtautujat saivat haltuunsa tietoja ssl-sertifikaateista, ovat käyttäjät alttiita hyökkäyksille”, sanoo saatavuuspalveluita tarjoavan FoxT:n toimitusjohtaja Subhash Tantry.
Tietokanta- ja sovellusturvallisuuteen erikoistuneen Imprevan Bar Yosef pelkää pahinta, sillä julkisuuteen kerrottujen tietojen mukaan on mahdoton arvioida mahdollisia riskejä.
”Tiedot ovat puutteellisia”, Yosef toteaa. ”Kyseessä on ongelma, joka toistuu kaiken aikaa: murron kohteeksi joutunut yritys ei kerro, mitä oikeasti tapahtui.”

Ennen Symantec-aikaa

Elokuuhun 2010 asti VeriSign oli maailman suurin ssl-sertifikaatteja ja valtuutusavaimia (token) myyvä taho, kunnes tietoturvayhtiö Symantec osti yhtiön todentamispalveluita tuottavan yksikön 1,28 miljardilla dollarilla eli noin 1,01 miljardilla eurolla.
Symantecin mukaan murrot tapahtuivat ennen kauppaa. Muuten yhtiö ei ole kommentoinut murtotietoja.
VeriSignin raportista ilmenee myös, että murrot salattiin yhtiön johdolta, joka sai tietää niistä vasta syyskuussa 2011.