360回应安全龙虾数字证书和私钥泄露 目前已吊销/仅在本地使用无安全风险
蓝点网提到 360 安全龙虾不慎将通配符域名证书和私钥全部放在本地导致泄露,对数字证书而言私钥泄漏是非常严重的事情,因为可以通过证书本体和私钥发起 MiTM 中间人劫持。
360 安全龙虾出现这个问题是因为用户界面需要使用 HTTPS 安全连接,而服务器就是用户本机,所以要实现加密连接似乎也只能将证书和私钥都放在本地,但只要放在本地那就 100% 会泄露。
在收到多名安全研究员报告后,360 火速申请吊销已经被泄露的 *.myclaw.360.cn 通配符证书 (实际申请吊销时间应该是昨天上午),目前这份泄露的证书已经作废。
360 安全团队也向蓝点网做出简单解释:
业务因失误将内部域名证书打包到安装包里,证书对应域名是 *.myclaw.360.cn,实际解析地址是 127.0.0.1 本地回环地址,该证书仅在本地使用,不会对外提供任何服务。
发现问题后 360 安全团队立即申请吊销这份证书,目前证书已经失效,无法再用于任何合法的 HTTPS 加密通信,普通用户也不会受到任何影响。
从 360 安全龙虾的运行逻辑来看这份证书泄露确实不会造成安全问题,尽管泄露到吊销期间仍然有劫持风险,不过考虑到用户访问的都是本机环境,所以劫持风险相对来说较低。
至于此次安全事故则纯粹是低级失误,不知道是不是因为 360 业务团队急于推出新产品而没有仔细设计整个架构,所幸 360 安全龙虾目前用户少且证书吊销及时,否则真可能造成更严重的安全问题。
-
360安全龙虾不慎泄露360子域名的通配符证书和私钥 目前等待吊销
360安全团队已紧急吊销泄露的证书,同时360安全团队也回应此次安全事故,具体请访问:360回应安全龙虾数字证书和私钥泄露 目前已吊销/仅在本地使用无安全风险据蓝点网网友分享的消息,360 最新发布的
-
遭大规模恶意攻击!周鸿祎:360愿为DeepSeek提供安全服务
日前,中国人工智能初创公司DeepSeek在官网连续发布2条公告称,DeepSeek线上服务受到大规模恶意攻击,导致平台注册繁忙。对此,360集团创始人周鸿祎表示:“一家小公司能够惊动美西方这么多力量
-
360软件弹窗广告被指关不完 客服:未提供一键关闭选项
近日,有网友反馈称自己电脑里的360安全卫士软件弹窗不断,对此官方进行了回应。从这位网友的反馈来看,360安全卫士软件中的“弹窗设置”选项多达50余项,而弹窗广告里的关闭选项让人眼花缭乱,无论如何选择
关注公众号:拾黑(shiheibook)了解更多
赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
微信扫码关注公众号