A Qihoo 360, uma das maiores empresas de cibersegurança da China, cometeu uma falha grave ao incluir uma chave privada SSL válida no instalador público do seu novo assistente, o 360 Security Claw. De acordo com a publicação do investigador Lukasz Olejnik partilhada no X/Twitter, este descuido fornece a qualquer pessoa a chave mestra necessária para autenticar tráfego nos servidores da empresa.
O erro da gigante avaliada em 10 mil milhões de dólares
O assistente em causa é uma versão adaptada do famoso agente de código aberto OpenClaw. O problema foi detetado quando o investigador de segurança percebeu que o certificado SSL para o domínio myclaw.360.cn estava completamente desprotegido dentro de um ficheiro não comprimido. Para extrair a chave privada, basta utilizar uma ferramenta básica de extração. O certificado em questão é válido até abril de 2027 e abrange todos os subdomínios da plataforma.
A ironia da situação agrava-se com o facto de Zhou Hongyi, o fundador da empresa que conta com cerca de 461 milhões de utilizadores e está avaliada em perto de 9,5 mil milhões de euros, ter garantido no lançamento que o produto nunca iria divulgar palavras-passe.
Um cenário ideal para atividades maliciosas
Ter uma chave privada deste calibre disponível livremente na internet abre a porta a ataques severos nas infraestruturas. Indivíduos mal-intencionados podem usar este ficheiro para se fazerem passar pelos servidores da empresa, intercetar o tráfego dos utilizadores ou criar páginas de phishing extremamente convincentes, uma vez que os navegadores vão tratar esses sites como totalmente legítimos. Até ao momento, a empresa não respondeu oficialmente ao incidente nem revogou a chave comprometida.
Nenhum comentário
Seja o primeiro!