Уязвимость OpenSSL позволяла красть данные пользователей

Коварная уязвимость в OpenSSL, названная «утечкой сердца», позволяет незаметно похищать секретные данные пользователей крупнейших сайтов.

Было найдено слабое место в OpenSSL, ключевом методе обеспечения безопасности интернета, вынуждающее вносить изменения в массу сайтов, чтобы защитить их пользователей.

Проблему впервые обнаружили и обнародовали финские эксперты по безопасности и специалисты из Google. Вскоре ряд крупных сайтов, в том числе Yahoo, Facebook, Google и Amazon, сообщили, что решают проблему или уже устранили ее.

Защита персональных данных

Специалисты еще проверяли влияние уязвимости на потребителей, но предупредили о его значительности. наиболее критичная информация пользователей — пароли, хранимые файлы, банковские реквизиты — могла быть уязвимой из-за изъяна защиты.

Эксперты по безопасности посоветовали пользователям подождать или хотя бы быть осторожными перед сменой паролей. Изменение пароля на уязвимом сайте может передать новый пароль хакерам. Перед внесением любых изменений пользователя следует проверить наличие на сайте объявления об устраненной бреши. Это полезное напоминание о том, что интернет изобилует рисками, что аккаунт в Twitter и LiveJournal тоже может быть взломан, поэтому важно внимательно следить за тем, что вы делаете, так же как в материальном мире.

Масштабы уязвимости были неясными. До двух третей сайтов опираются на затронутую ею технологию под названием OpenSSL. Но некоторые организации заранее узнали о проблемы и в кратчайшие сроки устранили ее, в то время как ряд других все еще работает над восстановлением безопасности.

Поскольку злоумышленники могут незаметно красть информацию с помощью уязвимости, неясно, насколько широко она эксплуатировалась, хотя она существовала около двух лет. На сайте Github, где разработчики делятся кодом, публиковались способы выгрузки информации с серверов за счет данной уязвимости. Дыра была найдена в части протокола OpenSSL, шифрующего сессии между устройствами пользователей и сайтами и именуемого «сердцебиением», потому что он перебрасывает сообщения туда-обратно. Специалисты назвали уязвимость «утечкой сердца». Уязвимость опасна в том плане, что не оставляет ни единого следа. Злоумышленники могут получить доступ к памяти компьютера и извлечь из нее ключи шифрования, логины, пароли, ценную интеллектуальную собственность, не оставив ни следа своего пребывания там.

Организациям порекомендовали немедленно скачать новейшую версию протокола OpenSSL, содержащую исправление, и быстро сменить свои ключи шифрования. Это также означало, что организациям придется сменить свои корпоративные пароли, завершить сеансы работы пользователей и посоветовать им сменить свои собственные пароли.

Затем компании начали составлять опись того, что они могли потерять. Но так как уязвимость позволяет злоумышленникам тайно красть ключи, защищающие обмен данными, пароли пользователей и все, что хранится в памяти уязвимого веб-сервера, фактически нельзя было оценить, был ли нанесен ущерб.

Исследователи безопасности нашли доказательства, что хакерам было известно об уязвимости. Специалисты, контролирующие различные «ханипоты», — хранилища ненастоящих данных в интернете, рассчитанные на привлечение хакеров и позволяющие лучше изучить их инструменты и приемы — обнаружили признаки того, что взломщики использовали уязвимость «утечки сердца» для доступа к ненастоящим данным.

Реальным жертвам может не повезти. Если злоумышленник не будет шантажировать вас, не опубликует ваши данные в интернете, или не украдет коммерческую тайну и не использует ее, вы не узнаете, что были скомпрометированы. Поэтому данная дыра в безопасности столь ужасна.

Пользователям следует считать свои пароли скомпрометированными и понуждать компании быстро устранить проблемы. Людям необходимо сменить пароли к критичным учетным записям, таким как интернет-банкинг, электронная почта, учетные записи в файловых хранилищах и интернет-магазинах, предварительно убедившись, что сайт закрыл дыру в безопасности.

Сейчас многие организации вняли предупреждению. Компании по всему интернету, в том числе Yahoo, Amazon и PayPal, стали уведомлять пользователей об уязвимости и о том, что предпринимается для ее смягчения. Tumblr, социальная сеть, принадлежащая Yahoo, сообщила о выпуске исправлений и заставила пользователей немедленно сменить пароли.

«Это все еще означает, что маленькая иконка замка (HTTPS), которой мы доверяли защиту наших паролей, личных электронных ящиков и данных кредитных карт, на самом деле обеспечивала доступ к нашим конфиденциальным данным для тех, кто знал об эксплойте. Потратьте время на изменение ваших паролей везде, особенно на таких ценных сервисах, как электронная почта, файловое хранилище и банкинг, которые могли быть взломаны с помощью данной уязвимости», говорится на сайте Tumblr.

© 2014 Сабой Онлайн | Уязвимость OpenSSL.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *