Certificat de sécurité 360 Lobster : fuite de la clé privée, la réponse officielle indique une erreur opérationnelle et le certificat a été révoqué

Selon Gate News, le 17 mars, l’équipe de sécurité de 360 a répondu à l’incident de fuite du certificat wildcard et de la clé privée de Security Lobster (OpenClaw). La déclaration officielle indique que cette fuite est due à une erreur opérationnelle, l’équipe ayant accidentellement inclus le certificat de domaine interne dans le package d’installation. Le certificat concerné est *.myclaw.360.cn, dont l’adresse de résolution réelle est 127.0.0.1, l’adresse de boucle locale, utilisée uniquement sur la machine de l’utilisateur et ne fournissant aucun service externe. Après avoir reçu plusieurs rapports de chercheurs en sécurité, 360 a demandé la révocation de ce certificat. Celui-ci est désormais invalide et ne peut plus être utilisé pour toute communication cryptée HTTPS légitime. La société affirme que les utilisateurs ordinaires ne sont pas affectés. Bien qu’il existe un risque théorique de détournement par homme du milieu pendant la période de fuite, le risque réel reste limité, car le service associé au certificat ne fonctionne que dans l’environnement local de la machine.