O emissor de certificado digital Comodo liberou, nesta semana, um alerta de segurança de que sua afiliada europeia havia emitido nove certificados SSL fraudulentos. Os certificados – usados por sites para confirmar a identidade de usuários finais – foram emitidos sem validação suficiente e foram aparentemente obtidos pelo governo do Irã.
Todos os certificados foram revogados pela empresa. Eles envolvem sete domínios: extensões do Firefox (addons.mozilla.org), Global Trustee, Gmail (mail.google.com), Google (www.google.com), Skype (login.skype.com), Windows Live, incluindo o Hotmail (login.live.com), e Yahoo (login.yahoo.com – três certificados).
A Microsoft disse que como resultado do certificado SSL fraudulento havia atualizado o Windows para prevenir que ele fosse usado. E ainda afirmou que os “navegadores que permitiram o Online Certificate Status Protocol (OCSP) irão de modo interativo validar esses certificados e bloqueá-los para que não sejam usados”.
De acordo com a Microsoft, “estes certificados podem ser usados para falsificar conteúdos, realizar ataques de roubo de identidade, ou realizar ataques contra os usuários de navegadores de rede, incluindo os usuários do Internet Explorer”.
Ou ainda recolher informações. “Se você for um governo capaz de controlar o roteamento da internet em seu país, pode redirecionar todos – digamos – usuários do Skype para um falso endereço https://login.skype.com e coletar seus nomes de usuários e senhas, independentemente da criptografia SSL estar funcionando”, disse Mikko Hypponen, chefe de pesquisa da F-Secure, em um post no blog oficial da companhia.
Quem tentaria obter certificados fraudulentos? Comodo afirma que indícios apontam para uma operação apoiada pelo Irã, devido à velocidade e precisão da operação, bem como o foco. “O autor se concentrou apenas na infraestrutura de comunicação – não na infraestrutura financeira como um típico criminoso cibernético faria”, de acordo com o relatório de incidente da empresa.
(Tradução: Alba Milena | Edição: Thaís Sabatini)
Saiba mais:
Especial Dilemas da Segurança: Os desafios da TI para blindar legalmente a empresa
TI diz que web 2.0 mina segurança corporativa
ð Você tem Twitter? Então, siga http://twitter.com/IT_Web e fique por dentro das principais notícias de TI e telecom.
A Comissão Europeia determinou que a Meta reestabeleça o acesso de assistentes de inteligência artificial…
As negociações com as ações da SpaceX têm início nesta quinta-feira, 12, em uma oferta…
A ascensão dos agentes de inteligência artificial (IA) está criando uma oportunidade para plataformas de…
Continuam abertas as inscrições para o prêmio Executivo de TI do Ano 2026. A iniciativa,…
A Meta anunciou um investimento de US$ 115 milhões para criar um programa de capacitação…
A Apple utilizou a edição de 2026 da Worldwide Developers Conference (WWDC) para apresentar uma…