De hacker die verantwoordelijkheid claimt voor de hack van Comodo én DigiNotar stelt ook toegang te hebben tot de infrastructuur van SSL-gigant GlobalSign. Het concern is direct een onderzoek gestart.
De multinationale SSL-leverancier GlobalSign doet momenteel koortsachtig onderzoek naar een mogelijke cyberinbraak. Die zou zijn gedaan door de hacker die waarschijnlijk ook achter de DigiNotar-kraak en de Comodo-hack zit. Dat bevestigt GlobalSign-manager Steve Roylance tegenover Webwereld.
Mozilla op de hoogte
Roylance kan nog geen details geven van het onderzoek, maar GlobalSign heeft al wel Firefox-maker Mozilla op de hoogte gesteld. "We doen momenteel onderzoek naar al onze systemen, en trachten te voorkomen dat we zijn volgende slachtoffer te zijn," schrijft Roylance op een Mozilla-mailinglist.
Na die posting heeft GlobalSign het eigen onderzoek ook bevestigd via Twitter: "We zijn op de hoogte dat de Comodo-hacker toegang zegt te hebben tot een aantal CA's, waaronder GlobalSign. We nemen deze claim zeer serieus en doen onderzoek."
Miljardenconcern
GlobalSign is vergelijkbaar met DigiNotar, alleen een paar maatjes groter. De SSL-autoriteit is onderdeel van de multinational GMO Internet Group, met vestigingen in de VS, Japan, Engeland en België. Het concern staat genoteerd op de beurs van Tokio en heeft een beurswaarde van bijna 8 miljard dollar.
DigiNotar is in januari dit jaar voor 10 miljoen euro gekocht door de Amerikaanse branchegenoot Vasco. Dat authenticatiebedrijf heeft een beurswaarde van zo'n 260 miljoen dollar. Het boekte in het eerste kwartaal van dit jaar een omzet van 36,4 miljoen euro. Dat is inclusief de activiteiten van internationale vestigingen en dochters, zoals het overgenomen en recent gehackte DigiNotar.
Meerdere CA's gehackt
De Iraanse hacker – of hackers – van die cyberinbraak claimt ook te zijn binnengedrongen bij het veel grotere GlobalSign. Die claims worden zeer serieus genomen, melden verschillende bronnen aan Webwereld. Naast GlobalSign zouden nog andere Certification Authorities (CA's) zijn gehackt.
Securitybedrijf Fox-IT legde in zijn voorlopige rapport over de cyberaanval op DigiNotar-hack ook al verband met de geruchtmakende Comodo-hack. In beide gevallen heeft de hacker een 'handtekening' achtergelaten in een speciale scripting-taal die alleen wordt gebruikt om certificaten te genereren.
Inbraak bij StartCom
De hacker stelt verder de Israëlische SSL-aanbieder StartCom, ook bekend als StartSSL, te hebben gehackt. Dat bedrijf was afgelopen juni inderdaad slachtoffer van een cyberinbraak.
StartCom wist de aanval af te slaan door meteen de stekker uit de infrastructuur te trekken. Het duurde vervolgens wel een paar weken voordat de CA van StartCom weer online was.
Update:
Minister Donner van Binnenlandse Zaken (BZK) meldt zojuist tijdens het vragenuurtje in de Tweede Kamer dat het onderzoek naar de DigiNotar-hack "internationaal wordt opgeschaald". Daarbij worden eerdere én mogelijk nog voortdurende cyberaanvallen op andere certificaatverstrekkers meegenomen.
Webwereld