CEVIU Logo
Voltar

Maior Empresa de Cibersegurança da China Vazou Acidentalmente uma Chave SSL em Instalador Público

Aprofundamento CEVIU

Aprofundamento

A Qihoo 360 não só vazou uma chave SSL privada wildcard, ela expôs o coração da confiança digital de sua própria infraestrutura. O certificado, emitido pela WoTrus CA (subsidiária da própria empresa), cobre todos os subdomínios de myclaw.360.cn e estava embutido no instalador do '360 Security Lobster', um wrapper comercial para o OpenClaw. Qualquer pessoa com acesso ao pacote podia extrair a chave em segundos, usando ferramentas como strings ou 7z, pois estava armazenada em texto claro no caminho /namiclaw/components/OpenClaw/openclaw.7z/credentials. Isso não é um erro de configuração isolado: é uma falha crítica de ciclo de vida de segredos, a chave foi gerada, integrada e distribuída sem rotação, sem proteção e sem validação de integridade.

O risco prático vai além da teoria: com essa chave, um atacante pode forjar certificados válidos para qualquer subdomínio de myclaw.360.cn, descriptografar tráfego TLS entre usuários e servidores da Qihoo, injetar código malicioso em atualizações de IA, ou sequestrar sessões de agentes em tempo real. E como a WoTrus CA já foi desconfiada por navegadores após sucessivas falhas de emissão, herança direta da WoSign , , a credibilidade do próprio ecossistema de certificação da empresa está sob escrutínio imediato.

Por que isso importa

Empresas de cibersegurança são avaliadas não apenas pelo que vendem, mas por como protegem seus próprios segredos. A Qihoo 360 tem 460 milhões de usuários e uma avaliação de US$ 10 bilhões, mas este vazamento mostra que sua postura operacional não acompanha seu porte. Um certificado wildcard com chave privada em um instalador público é uma violação grave das boas práticas de DevSecOps, como o uso de secrets managers, scanning de código-fonte e validação de artefatos antes da liberação. Para clientes corporativos e governamentais que dependem de soluções da Qihoo, o incidente levanta dúvidas concretas sobre a integridade de atualizações, a confiabilidade de canais de comunicação e a segurança de dados processados por ferramentas baseadas no 360 Security Lobster.

Perguntas frequentes

O que um invasor pode fazer com essa chave SSL vazada?

Pode realizar ataques man-in-the-middle contra qualquer serviço em myclaw.360.cn, falsificar páginas de login, interceptar dados criptografados entre usuários e servidores da Qihoo, e assinar certificados falsos que parecem legítimos para navegadores e sistemas que confiam na WoTrus CA.

Por que usar um certificado wildcard torna o vazamento mais perigoso?

Um certificado wildcard cobre todos os subdomínios de um domínio (ex: *.myclaw.360.cn). Se sua chave privada vaza, um único segredo compromete toda a cadeia de serviços associados, não apenas um endpoint isolado, mas potencialmente centenas de instâncias de agentes de IA, APIs e painéis administrativos.

A Qihoo 360 já teve problemas semelhantes no passado?

Sim. Em 2010, foi acusada de incluir backdoors em softwares; em 2012, distribuiu um patch falso que instalava malware; desde 2010 e novamente em 2017, houve denúncias de coleta não autorizada de dados sensíveis. Em 2016, cibercriminosos manipularam sua lista de permissões para liberar malware. Essa nova falha reforça um padrão recorrente de falhas operacionais críticas.

O certificado foi revogado? Isso resolve o problema?

Foi supostamente revogado após a divulgação, mas a revogação via OCSP sofre de latência e cache. Muitos clientes ainda podem receber respostas 'válido' mesmo após a revogação. Além disso, a chave privada continua circulando, revogar o certificado impede novos usos, mas não apaga o dano já causado nem retira a chave das mãos de quem já a extraiu.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
18 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser