Фальшивые сертификаты, выпущенные 10 июля DigiNotar, были заблокированы только29 августа.
"Было обнаружено около 300 000 уникальных IP-адресов, запрашивающих доступ к google.com", - говорится в докладе Fox-IT. 4 августа количество запросов резко увеличилось и продолжало возрастать до тех пор, пока сертификат не был заблокирован 29 августа. 99% этих IP-адресов были иранскими.
Список IP-адресов будет передан Google, а они, в свою очередь, сообщат пользователям о том, что за их электронной перепиской, возможно, следили в течение всего этого периода, сообщает Fox-IT.
Они также добавляют, что, скорее всего, кроме электронной почты также перехватывались и данные cookie. При помощи этих cookie можно было заходить прямо в почту Gmail и пользоваться другими службами Google.
"Куки сохраняются в течение долгого периода", - отмечают Fox-IT. Со стороны пользователей в Иране было бы правильно, по меньшей мере, войти и выйти из почты, а лучше даже поменять пароли.
По данным доклада, проанализировавшего IP-адреса, не имеющие отношения к Ирану компьютеры представляли собой, по большей части, конечные ноды Tor, прокси-серверы и другие VPN-серверы, прямые пользователи практически отсутствовали.
Список доменов и тот факт, что 99% пострадавших пользователей являются жителями Ирана, позволяет предположить, что целью хакеров был перехват частной переписки иранцев, комментируют Fox-IT.
Отчет Fox-IT так же говорит о том, что изначальная атака на DigiNotar могла произойти еще 17 июля. В DigiNotar заметили заметили неполадки 19 июля, в ходе обычной проверки, но, по всей видимости, ничего не предприняли. DigiNotar никак не прокомментировала эту информацию.
Первый фальшивый сертификат *.google.com был издан 10 июня. Все другие подделки были изданы между 10-м и 20-м июня.
