Сапожник без сапог. Китайский гигант кибербезопасности забыл секретный ключ прямо в «дверном замке»

Китайская компания Qihoo 360, один из крупнейших игроков на рынке кибербезопасности, оказалась в центре инцидента из-за собственной ошибки. В публичный установщик нового ИИ-помощника попал приватный SSL-ключ, который позволяет подтверждать подлинность серверов компании.

Проблему обнаружил специалист по безопасности Лукаш Олейник. В установочном файле ассистента 360 Security Claw, созданного на базе открытого проекта OpenClaw, он нашёл незащищённый архив с действующим SSL-сертификатом для домена «myclaw.360[.]cn». Достаточно распаковать установщик любым базовым инструментом, чтобы извлечь ключ.

Сертификат действует до апреля 2027 года и распространяется на все поддомены платформы. Фактически, речь идёт о мастер-ключе, который открывает доступ к аутентификации трафика внутри инфраструктуры сервиса.

Ситуацию усугубляет масштаб компании. Qihoo 360 обслуживает сотни миллионов пользователей и занимает доминирующее положение на китайском рынке кибербезопасности, сопоставимое с ролью Norton или McAfee на глобальном уровне. При запуске продукта основатель компании Чжоу Хунъи подчёркивал, что система не допускает утечек паролей.

Попадание такого ключа в открытый доступ создаёт серьёзные риски. Злоумышленники могут выдавать себя за серверы компании, перехватывать пользовательский трафик или разворачивать фишинговые страницы, которые браузеры будут воспринимать как полностью легитимные. Использование настоящих сертификатов уже стало заметной тенденцией в киберпреступной среде, а подобная утечка значительно упрощает атаки.

На момент публикации Qihoo 360 не прокомментировала ситуацию и не сообщила об отзыве скомпрометированного сертификата — стандартной меры, которая применяется при подобных утечках данных.