В целях защиты данных пользователям рекомендуют сменить пароли.
Специалисты в области информационной безопасности компаний Google и Codenomicon обнаружили серьезный дефект популярной системы шифрования OpenSSL. Всем пользователям интернета рекомендуется сменить пароли для предотвращения похищения конфиденциальной информации.
Эксперты по информационной безопасности объявили о серьезной уязвимости системы шифрования OpenSSL под названием Heartbleed. «Дыра» в системе дает возможность доступа к персональным данным пользователей, таким как пароли и номера банковских карт. Уязвимость была обнаружена в версии OpenSSL 1.0.1, однако сейчас ошибка устранена и выпущена исправленная версия OpenSSL, в которой пользователи смогут получить информацию о том, угрожает ли опасность их личным данным.
По мнению специалистов, эта ошибка системы — одна из самых серьезных за последние годы. Дело в том, что пострадать от такого «бага» может не только ограниченный круг пользователей, но и обычные люди. Система шифрования OpenSSL используется повсеместно, во множестве программ. Согласно данным компании Netcraft, систему OpenSSL используют 66% всех сайтов в интернете. Опасность ошибки состоит в том, что хакеры могли получать доступ к специальным ключам, которые могут расшифровать закодированную информацию, например, номер и пин-код банковской карты. Самое интересное, что такой метод хищения персональных данных не оставляет никаких следов и узнать о том, что информация была перехвачена, нельзя.
Специалисты компании Codenomicon решили оценить масштабы опасности «бага» Heartbleed. Они попытались атаковать сайт своей компании и «похитить» конфиденциальные данные без использования вспомогательной информации и учетных записей, а только с помощью «дыры» в системе. Попытка удалась, при этом не было оставлено никаких следов. "Мы смогли украсть у себя секретные ключи, используемые для наших сертификатов X 509, имена пользователей и пароли, мгновенные сообщения, электронные письма и важные бизнес-документы.
Версия OpenSSL 1.0.1, в которой была обнаружена уязвимость, выпущена в марте 2012, соответственно, злоумышленники имели доступ к конфиденциальной информации на протяжении двух лет. Специалисты уже выпустили исправленную версию OpenSSL 1.0.1g, однако угроза все еще существует. В случае, если шифровальные ключи были похищены злоумышленниками, они могут их использовать точно так же и в новой версии, поэтому экспертам нужно новые сертификаты безопасности и ключи.
В связи с обнаружением уязвимости системы шифрования OpenSSL, специалистами Codenomicon был создан специальный ресурс, на котором можно проверить, является ли сайт, использующий систему OpenSSL, уязвимым, и могла ли с него быть похищена конфиденциальная информация.
