Trustcor bepaalt welke websites legitiem zijn
Beeld: iStock

Microsoft en Mozilla hebben bekend gemaakt niet meer met Trustcor samen te werken. Het bedrijf zou banden hebben met malware-ontwikkelaars.


Trustcor is een bedrijf dat veiligheidscertificaten voor websites uitreikt. Deze certificaten geven aan welke websites legitiem en veilig zijn om te bezoeken. Doordat het bedrijf veiligheidscertificaten uitgeeft die bepalen welke websites te vertrouwen zijn, heeft Trustcor een centrale rol voor het functioneren van het internet. Zowel in Microsoft Edge als in Mozilla Firefox zullen nieuwe certificaten echter betekenisloos worden. De twee techgiganten maken openbaar dat ze de samenwerking met het bedrijf uit Panama stopzetten en geen nieuwe certificaten meer zullen aannemen. Naar alle verwachting zullen ook Google en Apple deze beslissing maken.

Banden met malware en afluisterapparatuur

De beslissing kwam er naar aanleiding van een artikel in The Washington Post. In dat artikel kwam informatie over de bedrijfsstructuur van Trustcor naar boven die eigenlijk meer vragen opriep dan antwoorden gaf. Zo zou het Panamese Trustcor, volgens registratiedocumenten, banden hebben met Measurement Systems: de twee bedrijven delen een kantoorruimte, personeelsleden en allerlei technische voorzieningen. In principe is hier niets mis mee, ware het niet dat van Measurement Systems geweten is dat het malware verspreidt. Eerder dit jaar kwam aan het licht dat het bedrijf spyware bundelde in verschillende mobiele apps en daarmee actief gebruikersinfo verzamelde. Tussen de verzamelde gegevens zaten telefoonnummers, e-mailadressen en exacte locaties. De apps waarin Measurement Systems de spyware verstopte, zijn in totaal zo’n 60 miljoen keer gedownload. Inmiddels werden deze apps uit de Google Play Store verwijderd.

Alsof dat nog niet genoeg was, hebben zowel Measurement Systems als Trustcor ook banden met een Amerikaans bedrijf dat afluisterapparatuur levert aan het Amerikaanse leger. Packet Forensics en Trustcor delen dezelfde werknemers en partners. Ook werd bevestigd dat Amerika gebuik maakte van Trustcors diensten, waaronder ook mailingservice MsgSafe, om terrorismeverdachten te strikken. Tussen de twee bedrijven zou op dit moment echter geen samenwerking meer lopen.


Geen misbruik

Alle certificaten die Trustcor uitreikt, zijn gewoon te vinden op het internet en door iedereen in te kijken. Onderzoekers vonden tot nu toe geen bewijs dat er certificaten werden uitgegeven met slechte bedoelingen. Desalniettemin schorten Microsoft en Mozilla de samenwerking op. Omdat certificaatautoriteiten een belangrijke rol hebben en zoveel vertrouwen krijgen, vinden de bedrijven het onacceptabel dat de autoriteit te linken valt aan een malware-producent.