Çinli siber güvenlik şirketi Qihoo 360’ın yeni aracı 360 Security Claw’un kurulum paketinde, şirkete ait bir alan adıyla ilişkili özel SSL anahtarı ortaya çıktı. Sızıntı ilk olarak 16 Mart 2026’da fark edildi ve anahtarın *.myclaw.360.cn için geçerli olduğu bildirildi. Böyle bir anahtar, teoride saldırganların sunucuları taklit etmesine, trafiği ele geçirmesine ya da sahte oturum açma sayfaları üretmesine kapı aralayabiliyor.
Qihoo 360, 17 Mart’ta yaptığı açıklamada söz konusu sertifikanın yalnızca yerel kullanım için üretildiğini, 127.0.0.1’e yönlendirildiğini ve kurulum paketine “iş hatasıyla” girdiğini söyledi. Şirket, güvenlik araştırmacılarının uyarısının ardından sertifikayı iptal ettiğini, bu nedenle gerçek dünyadaki riskin sınırlı olduğunu belirtti.
Teknik çerçeve ve arka plan
Uzmanlar, TLS 1.3’ün kullandığı Perfect Forward Secrecy sayesinde özel anahtar sızdırılsa bile geçmiş oturumların geriye dönük olarak çözülemeyeceğini hatırlatıyor. Buna karşın iptal edilene kadar geçen sürede ortadaki adam saldırısı gibi riskler teoride mevcut.
Olayda adı geçen sertifikanın WoTrus tarafından verildiği bildiriliyor. WoTrus/WoSign ekosistemi 2016’da yaşanan hatalar nedeniyle büyük tarayıcı sağlayıcılarıyla ciddi sorunlar yaşamış, WoSign ve StartCom sertifikaları o dönemde yaygın şekilde güven dışı bırakılmıştı. Bu geçmiş, olayın yankı bulmasında etkili oldu.
Neden önemli?
360 Security Claw, kısa sürede yayılan OpenClaw ekosistemini “dizginlemeyi” amaçlayan bir yardımcı. Ancak OpenClaw çevresinde zaten bir süredir güvenlik açıkları ve kötü amaçlı eklenti (“skill”) vakaları gündemde. Çin’de devlet kurumları ve kamu şirketlerinde OpenClaw kullanımına getirilen kısıtlamalar da bu kaygıları yansıtıyor.
Özetle: 18 Mart 2026 itibarıyla Qihoo 360, sızan sertifikayı iptal ettiğini ve hatanın yerel bir bileşenden kaynaklandığını söylüyor. Yine de kullanıcıların ve BT ekiplerinin şu adımları atması yerinde olur:
- 360 Security Claw’un güncel kurulumlarını kullanın; eski paketleri sistemlerinizden kaldırın.
- Makinenizde *.myclaw.360.cn için ekli özel sertifikalar/anahtarlar olup olmadığını denetleyin; gerekirse silin.
- Aracın ağ ve dosya erişim izinlerini en aza indirin; sıfır güven yaklaşımı uygulayın.
- Hassas kimlik bilgilerini döndürün ve API anahtarlarını yeniden oluşturun.
- Yalnızca resmi kaynaklardan indirip imza/doğrulama kontrollerini yapın.
Kaynak: www.techspot.com