Koncern wymaga od zainteresowanych klientów podpisania umowy, w której zobowiążą się oni do nieujawniania przekazanych im informacji (to tzw. umowa NDA - nondisclosure agreement).

Z nieoficjalnych informacji wynika, że na razie przedstawiciele RSA kontaktują się w tej sprawie z wybranymi klientami - głównie największymi firmami i tymi, w których bezpieczeństwo danych jest najbardziej istotne. Dane przekazywane są wyłącznie wysoko postawionym menedżerom IT.

Zobacz również:

• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku

Co ciekawe, niektórym klientom takie podejście do sprawy bardzo się nie podoba i od razu deklarują, że nie zamierzają podpisać takiego zobowiązania. "RSA chce, bym zobowiązał się do milczenia. U mnie coś takiego natychmiast budzi pewne podejrzenia - co oni chcą ukryć?" - komentuje Ron Gula, szef firmy Tenable Network Security (korzystającej z opracowanego przez RSA systemu autoryzacyjnego SecurID).

Osoby, które już miały okazję zapoznać się z najnowszymi rewelacjami RSA, z oczywistych względów nie podają żadnych szczegółowych informacji. Ale niektórzy z nich wyraźnie sugerują, że nie dowiedzieli się niczego znaczącego. "Ujmijmy to tak - po rozmowach wiem trochę więcej, ale cała sprawa wciąż jest dla mnie mętna. Może ludzie z RSA nie powiedzieli mi wszystkiego? W końcu jestem analitykiem, a nie ich klientem" - mówi Jon Oltsik z firmy Enterprise Strategy Group (który zdecydował się na podpisanie NDA).

Przedstawiciele RSA twierdzą, że ich akcja informacyjna ma ogromny zasięg - firma deklaruje, że skontaktowała się już w sprawie ataku z wszystkimi klientami, których dotyczył problem (czyli tymi, których bezpieczeństwo może być w jakikolwiek sposób zagrożone w związku z marcowym atakiem). Do 60 tys. z nich wysłano alerty e-mailowe, do 15 tys. zadzwoniono, zaś 5 tys. zaproszono do udziału w telekonferencjach poświeconych problemowi. Firma nie podaje jednak, ilu klientów poproszono o podpisanie umowy NDA.

Z nieoficjalnych informacji wynika, że po podpisaniu takiej umowy RSA przekazuje klientowi informacje o tym, jak może wyglądać ewentualny atak na system autentykacji RSA wdrożony przez daną firmę. Oczywiście, klient dowiaduje się również, co należy zrobić, by zapobiec takiemu atakowi.

Warto przypomnieć, że już kilka dni temu przedstawiciele RSA ujawnili nieco więcej informacji na temat samego ataku - przyznali, że włamywacze wprowadzili złośliwy kod do komputera jednego z pracowników wykorzystując nieznaną wcześniej lukę w zabezpieczeniach Adobe Flash Playera. Wciąż nie wiadomo jednak, co tak naprawdę zostało skradzione - w wydanym przez RSA oświadczeniu napisano jedynie, że chodzi o informacje, które "mogą osłabić skuteczność dwustopniowego systemu autoryzacji SecurID".