Співробітник Google Ніл Мехта й фахівці компанії Codenomicon виявили уразливість у протоколі шифрування OpenSSL. Помилка, що отримала назву Heartbleed, стала, за загальним визнанням, найбільшою загрозою для безпеки даних за всю історію інтернету.
Виявлена помилка CVE-2014-0160 з'явилася в коді OpenSSL ще 2 роки тому. Протягом цього часу уразливість ставила під загрозу особистих даних користувачів більшої частини Мережі. При виявленні Heartbleed хакери могли отримати доступ до паролів і логінім акаунтів, а також до особистих даних, електронних листів і банківських рахунків.
Технологію OpenSSL використовують дві третини всіх серверів світу. Під загрозу атаки потрапили навіть найбільші сервіси, включаючи Twitter, Yahoo, Steam, Flickr, Facebook, Gmail і Dropbox. Онлайн-ресурсам Apple і Microsoft удалося уникнути небезпеки завдяки використанню власних криптографічних інструментів.
Дослідник International Computer Science Institute Ніколас Вівер розповів The Verge, що уразливі сервери будуть виявлятися протягом року, а в цілому помилку вдасться виправити "ще не швидко".
Це пояснюється тим, що веб-сервери можуть тримати у своїй активній пам'яті багато інформації, включаючи паролі, контент, який завантажив користувач, навіть номери кредитних карток.
Маючи необхідні ключі шифрування, хакер може перехоплювати зашифровані дані (навіть не маючи доступу до сервера) і читати їх. Наприклад, можна підключитися до інтернет-кабелю й знімати з нього всю переписку поштою. Тобто це означає, що поки на сервері не будуть змінені ключі безпеки - хакери зможуть продовжувати читати приватну інформацію.
Ця загроза стосується абсолютно всіх користувачів інтернету як прямо, так і побічно, тому що OpenSSL - популярний стандарт шифрування. Улюблені сайти, сайти компаній, сайт, на якому користувачі оплачують комунальні послуги або купують книги - багато з них використовують цей стандарт. За інформацією компанії Netcraft, з майже 1 мільярда існуючих на сьогодні сайтів 66 % використовують технології на базі SSL. Експерти називають ситуацію катастрофічною.
Перевірити, чи оновив свій сервер використовуваний вами сайт, можна тут . Якщо все в порядку, залишається тільки змінити пароль.
Хто ми такі: Про нас та Контакти. Як ми пишемо новини та наші принципи: Редакційний кодекс. Ми старались, якщо вам сподобалось – задонатьте.
Якщо Ви помітили орфографічну помилку, напишіть нам.