חברת EMC הודיעה כי ה-SecurID Tokens מתוצרתה, אשר משמשים כאמצעי הזדהות חזק לצורך התחברויות מאובטחות , עלולים להמצא בסיכון - וזאת בעקבות תקיפה מתוחכמת על החברה.
במכתב פתוח ללקוחות החברה כותב RSA Executive Chairman, ארט קוביילו כי החברה "מעבירה מידע באופן שוטף ללקוחותיה, ומספקת להם הנחיות מיידיות בכדי לחזק את מערכות ה-SecurID אשר ברשותן".
"למרות שנכון לעכשיו אנחנו בטוחים כי המידע שדלף [מחטיבת RSA] אינו מאפשר תקיפה ישירה ומוצלחת על לקוחות RSA SecurID, הרי שקיימת אפשרות שיבוצע שימוש במידע זה בכדי להקטין את האפקטיביות של פתרון ה-Two factor authentication כחלק מתקיפה נרחבת יותר", אומר קוביילו.
ההודעה אינה כוללת פרטים רבים אודות התקיפה וכיצד היא התרחשה, אולם באתר החברה ניתן למצוא מספר הנחיות עבור לקוחותיה.
התקיפה אירעה "לאחרונה" והיתה מסוג "אירוע איום מתמיד ומתוחכם" (Advanced Persistent Threat incident), כתב קוביילו. תקיפה מסוג זה פגעה במערכות בגוגל ובכ-100 חברות נוספות בסוף שנת 2009. הפורצים שלחו הודעות אי-מייל או בפרצות אבטחה בדפדפני המשתמשים הארגוניים בכדי להשיג דריסת רגל ברשת המיחשוב של החברה המותקפת, ומרגע שהושגה על ידם שליטה על עמדת קצה אירגונית - הם החלו לבצע חיפוש אחר מידע רגיש ברחבי הרשת הפנימית; משהושג על-ידם מידע רגיש - הוא שודר החוצה אל יוזמי הפריצה.
במקרה זה מצאו הפורצים מידע אודות פתרונות ה-SecurID של RSA, אשר על פי פירסום של החברה מ-2009, משמשים להזדהות מאובטחת אל מול מערכות מיחשוב רגישות אצל כ-40 מיליון מלקוחותיה, הכוללים חברות, ארגונים ומשרדי ממשלה ברחבי העולם. בשנה שעברה מסרה החברה כי הטכנולוגיה שלה משמשת לאבטחת זהויותיהם של יותר מ-250 מיליון איש ברחבי העולם.
למרות המידע החלקי אשר סופק על-ידי החברה, אמרו מספר מומחי אבטחה כי הדליפה עלולה לשקף איום אמיתי על חברות, משרדי ממשלה וסוכנויות ממשל אשר משתמשים בפתרונות החברה.
אפשרות אחת, אמר וויטפילד דיפי - מחלוצי פיתוח ה-Public Key ואחד ממציאיו של פרוטוקול ההצפנה דיפי-הלמן - היא ש"מפתח המאסטר", מספר גדול וסודי אשר משמש כחלק מאלגוריתם ההצפנה - נגנב.
המקרה הגרוע ביותר, אמר, עלול להיות שהפורצים יוכלו לשכפל את הכרטיסים [או את ה-Tokens] אשר סופקו ללקוחות על-ידי RSA. דבר זה יאפשר לפורצים לחדור אל רשתות ארגוניות ומערכות מיחשוב [אשר ההזדהות מולן מבוצעת באמצעות הפתרון של RSA].
נכון לסוף השבוע האחרון, לא נמסרה כל תגובה מן החברה לשאלות שהופנו אליה.
בפניה רשמית אל הרשות לנירות ערך בארה"ב (SEC) הצהירה החברה כי היא "אינה מאמינה שלעניין המתואר במכתב תהיה השפעה מהותית על תוצאותיה הכספיות".
לידיעה המקורית בניו-יורק טיימס (אנגלית) - כאן
לידיעה ב-Tech World (אנגלית) - כאן
