Januari blev en tung månad för Symantec, ett av världens största säkerhetsföretag.

Först tvingades företaget gå ut och bekräfta att ett tidigare intrång var allvarligare än tidigare trott. Så tidigt som 2006 ska någon ha tagit sig in på företagets servrar och kommit över källkoden till säkerhetsprodukter.

Dessa uppgifter gick stick i stäv med vad Symantec tidigare hade sagt. Då hette det att källkoden till exempelvis PC Anywhere visserligen hade kommit på villovägar, men att det skett efter intrång mot servrar som hanterades av indiska myndigheter.

Efter erkännandet gick Symantec ut med en mycket ovanlig uppmaning: Sluta använda produkten, åtminstone tills en lagning finns tillgänglig.

Men det tog inte slut där. På torsdagen framkom uppgifter om att dotterbolaget Verisign utsattes för intrång 2010. Verisign har hand om en stor del av domännamnssystemet och är ytterst ansvarigt för sajter under .net, .com och amerikanska .gov.

Många drog efter andan när de nya uppgifterna framkom:

– Herregud. Det kan låta folk imitera nästan vilket företag som helst på nätet, säger Stewart Baker, en före detta chef på Department of Homeland Security och den amerikanska säkerhetstjänsten NSA, till nyhetsbyrån Reuters.

Det kanske mest anmärkningsvärda är att ledningen för Verisign inte ska ha fått information om intrånget förrän tidigast i höstas, alltså mer än ett år efter att det hade inträffat, trots att säkerhetsavdelningen upptäckt det långt tidigare. Detta bekräftas i dokument som nu har lämnats in till den amerikanska finansinspektionen, SEC, uppger flera medier.

I augusti 2010 köpte Symantec den del av Verisign som arbetar med digitala certifikat, intryg som används för att säkra kommunikation mellan till exempel en kund och en internetbank. Symantec säger sig inte ha några bevis för att intrånget slog mot just dessa delar. Men om uppgifterna från Verisign stämmer, innebär det att ledningen för företaget inte hade någon kännedom om intrånget när bolaget såldes till Symantec sommaren 2010.

Amerikanska myndigheter sätter nu press på företag att berätta öppet om att de har utsatts för intrång. En ny rekommendation från SEC från i höstas betonar den plikten. Motsvarande lagar finns sedan tidigare på delstatsnivå.

Samtidigt arbetar EU med nya regler som ska tvinga företag att informera sina kunder om deras data har hamnar i fel händer. Bolag som inte följer regeln ska drabbas av saftiga böter, troligtvis motsvarande ett par procent av omsättningen.