VeriSign坦承2010年多次遭駭

路透社近日在VeriSign提交給美國證券交易委員會（SEC）的文件中發現，VeriSign曾於2010年多次被駭，但此事甚至連當時的VeriSign技術長都不知情。

VeriSign於去年10月提交給SEC的文件中坦承，VeriSign於2010年面臨多起針對該公司企業網路的攻擊，駭客成功取得了電腦與伺服器上的小部份資訊。

此一陳年的駭客事件迄今才被揭露是因為SEC去年才規定企業必須向投資人公布安全漏洞。根據路透社報導，曾擔任VeriSign技術長三年、至2010年11月才離職的Ken Silva對於VeriSign遭駭渾然不知，而且VeriSign在文件中也沒有公布遭駭細節或後續調查，Silva認為VeriSign也許無法精確評估相關攻擊所造成的傷害。

事實上，VeriSign在文件中坦承該公司的安全部門在攻擊事件發生時隱匿不報，才使得該公司的管理階層被蒙在鼓裡。

VeriSign曾是全球最著名的憑證業者，提供SSL、公開金鑰（PIK）與信賴認證服務，但在2010年5月以12.8億美元將相關業務出售給賽門鐵克（Symantec），現在VeriSign的主要業務為網域名稱註冊及管理服務，及阻斷式服務攻擊（DDoS）保護服務等。（編譯/陳曉莉）


資安業者認為茲事體大，指出如果是SSL認證遭駭，或是駭客取得了有關SSL憑證的資訊，等於是敞開了攻擊的大門；而且VeriSign交待不清更讓他們擔心駭客是否已取得了重要的憑證或認證資訊。

VeriSign則在本周消息曝光後發表簡短聲明，表示是Verisign非生產的企業網路被駭客滲透，網域名稱系統（DNS）的完整性並未受到危害，所公布的DNS區域檔案都被妥善地保護著。至於已買下Verisign憑證業務的Symantec則未回應此事。