DigiNotar schoot ernstig te kort in de beveiliging van het eigen netwerk en de reactie op de aanval waarbij meer dan vijfhonderd frauduleuze certificaten werd gegenereerd. Dat blijkt uit het Fox-IT onderzoeksrapport "Operation Black Tulip". Zo werd er geen anti-virus software gebruikt, waren alle certificaat-servers aan het Windows domein gekoppeld, waardoor de aanvaller via één gehackt administrator-account toegang tot alle machines had.

Daarnaast was het administrator-wachtwoord eenvoudig te brute-forcen, gebruikten de servers die aan het internet hingen verouderde software en waren niet gepatcht. Ook was er geen centrale of veilige logging en was er geen scheiding van belangrijke onderdelen.

Afluisteren
Volgens het Delftse beveiligingsbedrijf hadden de aanvallers als doel het afluisteren van Iraanse internetverkeer. Daarbij zouden de aanvallers mogelijk op 6 juni voor het eerst de omgeving van DigiNotar hebben verkend, waarbij elf dagen later op 17 juni, de servers in de DMZ volledig waren overgenomen. Op 19 juni ontdekte DigiNotar tijdens een dagelijkse audit procedure het incident, maar deed niets. Op 2 juli proberen de aanvallers voor het eerst een frauduleus certificaat te genereren, waarbij dat op 10 juli voor het eerst succesvol lijkt te lukken.

Onderstaande video laat de herkomst van OCSP queries zien, die naar DigiNotar's servers werden gestuurd. Fox-IT ontdekte dat tijdens de aanvalsperiode 99% van de lookups voor DigiNotar, waarbij de browser controleert of een certificaat is ingetrokken, uit Iran afkomstig was.