Около 300 000 IP-адресов из Ирана использовали похищенный SSL-сертификат

Согласно данным анализа ИТ-компании Fox-IT, около 300 000 IP-адресов из адресного пространства Ирана обратились к защищенной странице google.com, используя поддельный сертификат, выпущенный компанией DigiNotar.

Поддельный SSL-сертификат был выпущен 10 июля и аннулирован 29 августа. В Fox-IT сообщили, что 300 000 адресов - это гарантированный минимум, который уже точно был подтвержден, однако на практике таких адресов может быть больше. В Fox-IT говорят, что полученный ими список адресов будет передан Google, которая может проинформировать конкретных пользователей о том, что они обращались к сервисам компании по фальшивому сертификату и, возможно, поддельному адресу. На практике это означает, что данные действия могли привести к перехвату логинов и паролей от социальной сети Google+ или почтового ящика на Gmail. Эксперты говорят, что потенциальные хакеры при помощи краденного сертификата в срок до 29 августа также могли перехватить и cookie-файлы, хранящиеся на компьютере пользователя, и получить доступ к пользовательским данным на других сервисах, например на Facebook. "Cookie на вход в интернет-сервисы, как правило, остаются действительными в течение длительного срока. Со стороны пользователей в Иране было бы разумно как минимум закрыть все ранее открытые сессии, а лучше - сменить пароли", - говорят в Fox-IT. В Fox-IT говорят, что судя по направлению активности, можно говорить, что кража SSL-сертификатов производилась некими злоумышленниками, которые были заинтересованы именно в атаке на иранский сегмент интернета.