Verisign, som er ansvarlig for å dirigere store deler av verdens nettbrukere til korrekt adresse, og en av de mest kjente utstedere av SSL-sertifikater, erkjenner at de ble rammet av en serie datainnbrudd i 2010.
Selskapet drifter blant annet 2 av verdens 13 rotservere og administrerer også toppnivådomenene .com, .net og .gov.
Først året etter valgte de å melde ifra om hendelsene, men det er fortsatt uklart hva som har skjedd.
Det fremgår langt ned i en såkalt Q-10-rapport, som børsnoterte amerikanske selskaper må levere til USAs finanstilsyn hvert kvartal.
- Angrepene ble ikke i tilstrekkelig grad rapportert til ledelsen, som først ble informert i september 2011, skriver Verisign i rapporten.
Innbruddene kom imidlertid ikke i søkelyset før Reuters fanget opp saken torsdag denne uken.
I rapporten bekrefter Verisign at de i 2010 ble utsatt for en rekke vellykkede angrep mot interne systemer. «En liten del» av deres datamaskiner og servere oppgis å ha vært rammet. Det er på det rene at informasjon ble tappet.
Hva som ble stjålet og i hvilket omfang sies det ingenting om. Ei heller gis det noen teorier om hva motivene for angrepene kan ha vært.
Vi har etterforsket og tror ikke at disse angrepene kompromitterte serverne våre som støtter vårt DNS-nettverk, skriver selskapet.
- Herregud. Dette kan ha gitt noen anledning til å imitere nærmest et hvilket som helst selskap på Internet, sier tidligere USAs tidligere viseminister for innenrikssikkerhet Stewart Baker til Reuters.
Med så få detaljer som Verisign kommer med er det nærliggende å spekulere i om angrepet kan ha vært rettet mot sertifikatvirksomheten.
Eksperter sier til Reuters at sikkerhetsbruddet minner dem om forrige års angrep mot RSA Security, en av verdens mest betrodde leverandører av IT-sikkerhet. Det ble senere bekreftet at dette angrepet ble brukt for å stjele forsvarshemmeligheter fra kampflyprodusenten Lockheed Martin.
- Innbruddene hos Verisign og RSA-angrepet utgjør en risiko for autentiseringsmekanismene som bedrifter benytter seg av. Det synes å være et organisert anslag mot de som tilbyr autentiseringstjenester, sier Melissa Hathaway, en tidligere etterretningssjef som ledet president Obamas gjennomgang av USAs kybersikkerhet.
Symantec overtok ID-tjenestene til Verisign for 1,28 milliarder dollar sommeren 2010.
Overfor The Register sier selskapet at de føler seg sikre på at datainnbruddene mot Verisign ikke har kompromitert noen av sikkerhetstjenestene deres.
- SSL, brukerautentisering eller andre produksjonssystemer kjøpt opp av Symantec ble ikke rammet av nettverksinnbruddet som nevnes i kvartalsrapporten fra Verisign, sier selskapet.
Les også:
- [11.02.2013] Glemte å ta egen medisin
- [04.01.2013] Stanset falske google.com-sertifikater
- [25.05.2010] Symantec overtar ID-tjenestene til Verisign
- [02.01.2009] Sertifiserte nettsteder kan forfalskes
- [16.09.2003] Overtar alle ledige .net- og .com-domener