Der private Schlüssel des 360 Security Lobster-Zertifikats wurde durchgesickert. Die offizielle Stellungnahme bestätigt einen Geschäftsfehler und das Widerrufen des Zertifikats.

Gate News Nachrichten, am 17. März hat das 360 Sicherheitsteam auf den Vorfall mit dem Sicherheits-Languste (OpenClaw) Wildcard-Zertifikat und dem privaten Schlüssel reagiert. Die offizielle Stellungnahme lautet, dass die Offenlegung auf einen Fehler im Geschäftsbetrieb zurückzuführen ist, bei dem das Team versehentlich das interne Domänenzertifikat in das Installationspaket aufgenommen hat. Das betroffene Zertifikat ist *.myclaw.360.cn, dessen tatsächliche Auflösung auf die lokale Loopback-Adresse 127.0.0.1 zeigt, und nur auf dem Nutzergerät verwendet wird, ohne externen Dienst. Nach Berichten mehrerer Sicherheitsexperten hat 360 das Zertifikat widerrufen. Das Zertifikat ist jetzt ungültig und kann für keine legitimen HTTPS-Verschlüsselungen mehr verwendet werden. Die offizielle Aussage lautet, dass normale Nutzer nicht betroffen sind. Obwohl während der Offenlegung ein theoretisches Risiko eines Man-in-the-Middle-Angriffs besteht, ist das tatsächliche Risiko relativ gering, da der Zertifikat-zugehörige Dienst nur in der lokalen Umgebung läuft.