Обнаружена глобальная уязвимость: 7 сайтов, на которых нужно срочно поменять пароли
В понедельник команда безопасности Google обнаружила страшный баг, который угрожает всем сайтам, работающим с SSL-шифрованием. Через него может происходить утечка персональных данных и паролей пользователей различных веб-сервисов, в том числе и социальных сетей. Баг получил название «Кровоточащее сердце» (Heartbleed) и титул самой опасной уязвимости, когда-либо существовавшей в интернете.
Чтобы проверить уязвимость вашего сайта перед новообнаруженным багом, можно воспользоваться оперативным серсисом от LastPass — Heartbleed checker. Достаточно просто ввести в поле URL, и сервис сообщит, есть ли у вас причины для беспокойства.
Между тем, абсолютно у всех пользователей некоторых популярных социальных сетей и сервисов такой повод есть. Уязвимости могут быть подвержены сайты, которыми вы пользуетесь каждый день. Некоторые из интернет-компаний уже обновили свои ресурсы таким образом, чтобы «Кровоточащее сердце» им не навредило. Все, что требуется от пользователей — незамедлительно обновить пароли на этих сервисах, хотя даже это не даст гарантий, что их персональные данные еще не утекли к злоумышленникам. Впрочем, также можно допустить, что далеко не все хакеры знали об этой уязвимости до текущей недели.
В любом случае, регулярная смена паролей — хорошая практика для защиты своей информации. Ниже вы найдете список сайтов, пароли на которых нужно обновить обязательно:
Социальные сети
|
Уязвим? |
Есть ли патч? |
Надо ли поменять пароль? |
Заявление компании |
|
| N/A | Да | Да | «Мы добавили защиту для реализации OpenSSL в Facebook еще до того, как было объявлено об этой уязвимости. Мы не обнаружили признаков подозрительной активности в аккаунтах, но призываем людей установить уникальные пароли» | |
| Нет | Нет | Нет | «Мы не используем уязвимую реализацию OpenSSL в www.linkedin.com или www.slideshare.net. Как результат, «Кровоточащее сердце» не представляет угрозы для этих сервисов.» | |
| Tumblr | Да | Да | Да | «У нас нет признаков каких-либо нарушений и, как и большинство других сетей, наша команда приняла меры по устранению проблем незамедлительно.» |
| N/A | N/A | N/A | Twitter пока не делал заявлений и не ответил на запрос. |
Крупные интернет-компании
|
Есть ли уязвимость? |
Есть ли патч? |
Надо ли поменять пароль? |
Заявление компании |
|
| Apple | N/A | N/A | N/A | Apple пока не делал заявлений и не ответил на запрос. |
| Amazon | Нет | Нет | Нет | «Amazon.com не подвержен уязвимости.» |
| Да | Да | Да* | “Мы оценили уязвимость SSL и применили патчи к основным сервисам Google.” Поиск, Gmail, YouTube, Wallet, Play, приложения.*Google пояснил пользователям, что им не обязательно менять пароли, но береженого бог бережет. | |
| Microsoft | Нет | Нет | Нет | Сервисы Microsoft не работают на OpenSSL. |
Электронная почта
|
Есть ли уязвимость? |
Есть ли патч? |
Надо ли поменять пароль? |
Заявление компании |
|
| Gmail | Да | Да | Да* | “Мы оценили уязвимость SSL и применили патчи к основным сервисам Google.” Поиск, Gmail, YouTube, Wallet, Play, приложения.*Google пояснил пользователям, что им не обязательно менять пароли, но береженого бог бережет. |
| Hotmail / Outlook | Нет | Нет | Нет | Сервисы Microsoft не работают на OpenSSL. |
| Yahoo Mail | Да | Да | Да | «Как только мы узнали об этой проблеме, мы начали работать над ее устранением… и мы работаем над тем, чтобы устранить ее на всех наших сайтах.» |
Электронная коммерция
|
Есть ли уязвимость? |
Есть ли патч? |
Надо ли поменять пароль? |
Заявление компании |
|
| Amazon | Нет | Нет | Нет | «Amazon.com не подвержен уязвимости.» |
| eBay | N/A | N/A | N/A | «Большинство наших сервисов не подпадает под уязвимость и наши пользователи могут продолжать безопасный шоппинг на нашей площадке.» |
| PayPal | Нет | Нет | Нет | «Ваш аккаунт PayPal не подвергался опасности в прошлом и не подвержен ей на сегодня.» Полный текст заявления |
Интернет-сервисы
|
Есть ли уязвимость? |
Есть ли патч? |
Надо ли поменять пароль? |
Заявление компании |
|
| Dropbox | Да | Да | Да | В Twitter: «Мы исправили все наши пользовательские сервисы и продолжим работу, чтобы убедиться, что все ваши данные в безопасности.» |
| Evernote | N/A | N/A | N/A | Evernote пока не делал заявлений и не ответил на запрос. |
| SoundCloud | Да | Да | Да | «Мы будем переподписывать каждого пользователя SoundCloud, после чего поправки, которые мы внесли, вступят в силу.» |
Источник: Mashable
Комментарии | 5
UPD от Evernote: http://blog.evernote.com/ru/2014/04/10/evernote-service-not-affected-by-openssl-bug/
Все с ними в порядке
Кто там любит о безопасности опенсорса рассуждать?
Organisations that used Microsoft’s Internet Information Services (IIS) web server software would not have been affected.
But Codenomicon has noted that more than 66% of the net’s active sites rely on the open source alternatives Apache and Nginx, which do use OpenSSL.
Ничего безопасного не существует. Фишка opensource в том, что фиксы приходят в тот же день, когда и была обнаружена дыра. У арча обновились спустя час после релиза.
https://projects.archlinux.org/svntogit/packages.git/commit/trunk?h=packages/openssl&id=3ecc5c1a6ab72a7464f22a530b73106d4599aa63
Так и не понял — а что делать сайтам, которые используют Open SSL? Нужно как-то закрыть эту дырку самому или тот, кто выписывает сертификаты, сам должен выпустить патч на него?
Попробуй просто обновить ОС на сайте. На http://heartbleed.com/ список уязвимых версий. Если обновления включены, то уже должно быть все исправлено.