D-Link 在 DCS-5020L 的 open source package (因 GPL 要求) 裡放了簽名用的 private key:「D-Link spilled its private key onto the web – letting malware dress up as Windows apps」。
而這把 key 由 Verisign 所簽,因此被 Windows 所信任,所以這把 key 可以用來簽 malware:
而不幸的是,這把 key 已經洩漏出來超過半年了:
The D-Link key was leaked in late February, and expired on September 3, it appears.
又是一連串的 revoke 過程... orz