Как сообщает сайт thg.ru, на прошлой неделе в протоколе OpenSSL была обнаружена уязвимость. OpenSSL широко используется для шифрования данных на многих веб-сайтах. В версию OpenSSL 1.0.1 закрался баг, который позволял посторонним лицам получить информацию с сервера, не оставляя при этом никаких следов.
Дефект получил название Heartbleed, поскольку он затрагивает раздел OpenSSL под названием heartbeat (сердцебиение). Опасность этой уязвимости заключается в том, что благодаря ей хакеры получили доступ к таким данным пользователей, как логины, пароли и cookies.
Как только уязвимость была обнаружена, был выпущен новый патч OpenSSL, устранивший ее. Кроме того, если ранее сервер не использовал heartbeat, то и уязвимым он не был.
Сообщается, что дефект был обнаружен в системах безопасности 17,5% всех серверов, многие их которых уже предприняли меры по устранению дефекта. К таким относятся, например, Google и Yahoo. Однако, по оценке специалистов, все же стоит сменить пароли к почтовым службам, банковским и финансовым сайтам.
Руководитель отдела изучения вэб-инцидентов RIA Тармо Рандель в интервью BNS напомнил, что эффективным и безопасным может считаться пароль, который используется только в одной среде, состоит по меньшей мере из 9-10 символов, при этом содержит и строчные, и заглавные буквы, включает в себя цифры и знаки препинания. Использовать один и тот же пароль в разных средах неразумно, кроме того, следует регулярно — по меньшей мере раз в месяц — менять свои пароли.