Heartbleed застрашава данните на милиони потребители в интернет

Компанията Codenomicon и служител в Google на име Нийл Мехта независимо откриха сериозен проблем в криптирането на сайтове, ползващи стандарта OpenSSL. Бъгът, наречен от откривателите си Heartbleed, дава възможност за достъп до цялата лична информация на човека, която е в системата на определен сайт.

По принцип SSL криптирането се ползва именно за предпазване на информацията от любопитни очи. С този бъг обаче тя става достъпна за всеки, който знае как да се възползва от него. Обичайно проблемите със защитата на сайтове не са толкова страшни, понеже засягат относително малък брой. В случая обаче OpenSSL се използва за криптиране на nginx и apache платформите, които поддържат две трети от всички сайтове. Най-притеснителното е, че този бъг съществува от 2011 година и е открит чак сега. Възможно е да е бил експлоатиран много пъти, но няма начин да се знае със сигурност.

Heartbleed засяга сериозно количество известни уеб сайтове, които в момента правят всичко възможно, за да го отстранят. Yahoo, Amazon и други съобщиха, че работят върху проблема, което значи, че са били уязвими до сега. За щастие, интернет обществото реагира бързо и вече има списък с уеб сайтове, които са засегнати от бъга. Освен това има и инструмент, с който можете да проверите сами дали даден сайт е уязвим. Също така от OpenSSL вече пуснаха пач, който да се справи с проблема, но сайтовете трябва да го имплементират.

Като потребители няма какво да направим, освен да не влизаме в съответните сайтове и да чакаме съобщение, че са се справили с проблема. След това е добра идея да сменим паролите си, защото е напълно възможно някой да е добил достъп до информацията ни, докато е била уязвима.

http://gigaom.com/2014/04/08/heres-everything-you-need-to-know-about-the-heartbleed-web-security-flaw/