A Microsoft emitiu ontem um alerta de segurança dando conta de nove certificados digitais emitidos indevidamente e onde se incluem populares domínios como login.live.com, mail.google.com ou login.skype.com.

Este tipo de situação pode colocar em risco os internautas, na medida em que os endereços podem ser usados por entidades que não são os verdadeiros titulares dos domínios, para ataques de spoofing (em que conteúdos maliciosos são "mascarados" de legítimos) ou phishing. A empresa esclareceu no entanto que já foram tomadas as medidas devidas.

Os certificados foram emitidos pela Comodo, que apesar de ser uma empresa certificada, não terá cumprido na íntegra os procedimentos necessários à validação de identidade dos titulares, explicou a Microsoft.

Ainda de acordo com a gigante de Redmond, os certificados fraudulentos já foram incluídos na lista de revogados (Certificate Revocation List - CRL) da Comodo, bem como na lista de certificados a bloquear através do Online Certificate Status Protocol (OCSP), que é automaticamente verificado pela maioria dos browsers - a menos que a funcionalidade tenha sido desactivada pelo utilizador, explicou um especialista contactado pelo TeK.

Segundo o director-geral da Multicert, José Pina Miranda, seria preciso muito engenho para tirar partido da situação em ataques mas, ainda assim, constitui uma "quebra grave da confiança na emissão dos certificados por parte da Comodo".

"Isto significa que não validaram suficientemente os dados" e existe o "risco de que possa acontecer mais vezes", explicou o responsável pela empresa que desenvolve o mesmo tipo de actividade em Portugal.

Realçou, no entanto, que "hoje em dia isso raramente acontece" e que verificar-se uma situação do género na UE seria quase impossível, devido às extensas auditorias feitas às empresas que emitem estes certificados.