Проблема існує вже 2 роки. Протягом всього цього періоду хакери, які могли знати про діру, безконтрольно могли читати вашу переписку, знати інформацію про ваші банківські дані, вашу пошту і т.д., повідомляєWatcher.com.ua із посиланням на Businessinsider.
Дірку в безпеці назвали Heartbleed. Експерти з безпеки інформації вважають, що це найбільша загроза безпеки приватної інформації за весь час існування інтернету.
Причому це не просто баг в якомусь додатку, який легко можна «апдейтнути». Дірка в безпеці серверів, які забезпечують безпечну передачу даних в таких сервісах як Facebook, Gmail та тисячах інших.
Heartbleed - дірка в безпеці OpenSSL - опенсорсний стандарт шифрування даних, який використовують більшість сайтів для шифрування даних, які проходять між сервером та користувачем. Це дає можливість шифрувати дані при обміні повідомленнями в чаті чи електронній пошті.
Шифрування відбувається в такий спосіб, що якщо хтось перехопить вашу інформацію - це буде лише набір символів, який не має жодного сенсу.
Коли комп‘ютери встановлюють між собою безпечне з‘єднання через OpenSSL - вони відправляють один одному так званий heartbeat (серцебиття) - невеликий пакет даних, який просить дати відповідь на запит.
Через помилку в програмному коді OpenSSL зловмисники отримали можливість надіслати неавторизований heartbeat в такий спосіб, що сервер буде сприймати його як авторизований комп‘ютер і може отримати доступ до даних, що зберігаються, зокрема, в пам‘яті серверів.
Наскільки висока загроза для користувача?
Це найвищий рівень загрози з існуючих до сьогоднішнього дня. Веб сервери можуть тримати своїй активній пам‘яті багато інформації, включаючи паролі, контент, який завантажив користувач. Навіть номери кредитних карток.
Але найнебезпечніше те, що в хакерів з‘явилась можливість доступу до ключів шифрування - кодів, які дають можливість перетворити беззмістовну інформацію, яка передається між користувачем та сервером, у нормальну.
Маючи такі ключі, хакер може перехоплювати зашифровані дані (навіть не маючи доступу до сервера) та розшифровувати їх. Наприклад, можна підключитись до вашого інтернет-кабеля, і знімати з нього всю вашу переписку поштою.
Тобто це означає, що поки на сервері не будуть змінені ключі безпеки - хакери зможуть продовжувати читати вашу інформацію.
Чи стосується це вас особисто?
Скоріш за все, так. Це може стосуватись вас як прямо, так і опосередковано. OpenSSL - найпопулярніший стандарт шифрування в інтернеті. Ваші улюблені сайти, сайт вашої компанії, сайт, де ви оплачуєте комунальні послуги чи купуєте книги - багато з них використовують OpenSSL.
За інформацією компанії Netcraft, з майже 1 мільярда існуючих на сьогоднішній день сайтів, 66% використовують технології на базі SSL.
Що ви можете зробити, щоб захистити себе?
Оскільки проблема існує вже понад 2 роки, і процес доступу до ваших даних не залишав жодних слідів втручання - це означає, що так чи інакше хтось міг отримати доступ до ваших даних. Важливо змінити ваші паролі. Особливо для сервісів, де є важлива інформація.
Однак, якщо сайт, де зберігається ця інформація, не оновив OpenSSL, зміна вашого паролю нічого не дасть - загроза доступу до даних буде зберігатись.
Поштові сервіси Gmail та Yahoo.Mail вже «залатали» діру, і просять користувачів змінити свої паролі. Аналогічна ситуація з соціальною мережею Facebook та сервісом зберігання даних Dropbox.
За даними BBC News, деякі компанії, серед яких Google та Yahoo, уже закликають людей змінювати свої паролі. Так, блог-платформи Tumblr радить громадськсті «змінити свої паролі скрізь - особливо це стосується електронної пошти, зберігання файлів і банківську діяльність».
У Google та у Codenomicon (фінська компанія із безпеки) кажуть, що внаслідок виявленої помилки в програмі SSL-шифрування, яка існувала протягом двох років, інтернет-користувачі можуть втратити персональні дані та паролі різних веб-сервісів.
Оскільки персональні дані не були ніде опубліковані, виявити чи зламана ваша скринька - неможливо.
Експерти називають ситуацію катастрофічною. За словами блогера Брюса Шнейера, катастрофа - правильне слово. По 10-бальній шкалі - 11.
Ілюстрація - http://life.pravda.com.ua
