360“安全龙虾”安装包私钥证书泄露事件详情:
事件概述
3月17日,leyunetwork报道称,有网友发现“360安全龙虾”安装包中意外包含360公司内部的SSL私钥与证书。该私钥对应域名为*.myclaw.360.cn(通配符证书),可作用于该域名下的全部子站点。360公司回应称,已第一时间吊销涉事证书,技术层面阻断了潜在安全风险。
问题细节
- 泄露内容:“360安全龙虾”安装包中包含360内部的SSL私钥与证书,私钥对应通配符证书(*.myclaw.360.cn),可覆盖该域名下所有子站点。
- 技术风险:攻击者若利用该私钥,可能伪造服务器、劫持流量,威胁用户数据安全。
360公司回应
- 应对措施:已第一时间吊销涉事证书,从技术层面阻断了私钥被滥用的可能。
- 问题原因:源于发布环节失误,导致内部域名的网站证书被意外打包进安装包。
- 影响说明:目前证书已失效,普通用户不会因此受到直接影响。
技术背景与补充
- 技术分析指出,本地连接的正确安全做法应为使用自签名证书或HTTP明文访问,直接将私钥与证书打包进安装包属于“非常规操作”,易导致密钥泄露。
- 360确认问题已通过应急措施(吊销证书)解决,强调“发布环节失误”是主要原因,未提及后续是否有其他补救措施。
总结
此次事件暴露了软件发布流程中的安全漏洞,360通过紧急吊销证书阻断了潜在风险,普通用户未受直接影响。核心教训在于需强化发布环节的安全审核机制,避免内部敏感信息(如私钥、证书)被误打包。
(注:文中图片及广告声明未作核心信息处理,主要聚焦事件本身的事实陈述。)
一站式数字化解决方案服务商 —— 专业提供软件开发、网站设计、APP 与小程序开发,搭载低费率支付通道,结合创意广告设计,助力企业全链路数字化升级。
- 使用本网站请联系客服
- 点击关注微信公众号:乐鱼网络
- 点击-在线客服