В понедельник команда безопасности Google обнаружила страшный баг, который угрожает всем сайтам, работающим с SSL-шифрованием. Через него может происходить утечка персональных данных и паролей пользователей различных веб-сервисов, в том числе и социальных сетей. Баг получил название “Кровоточащее сердце” (Heartbleed) и титул самой опасной уязвимости, когда-либо существовавшей в интернете.
Чтобы проверить уязвимость вашего сайта перед новообнаруженным багом, можно воспользоваться оперативным серсисом от LastPass – Heartbleed checker. Достаточно просто ввести в поле URL, и сервис сообщит, есть ли у вас причины для беспокойства.
Между тем, абсолютно у всех пользователей некоторых популярных социальных сетей и сервисов такой повод есть. Уязвимости могут быть подвержены сайты, которыми вы пользуетесь каждый день. Некоторые из интернет-компаний уже обновили свои ресурсы таким образом, чтобы “Кровоточащее сердце” им не навредило. Все, что требуется от пользователей – незамедлительно обновить пароли на этих сервисах, хотя даже это не даст гарантий, что их персональные данные еще не утекли к злоумышленникам. Впрочем, также можно допустить, что далеко не все хакеры знали об этой уязвимости до текущей недели.
В любом случае, регулярная смена паролей – хорошая практика для защиты своей информации. Ниже вы найдете список сайтов, пароли на которых нужно обновить обязательно:
Социальные сети
|
Уязвим? |
Есть ли патч? |
Надо ли поменять пароль? |
Заявление компании |
|
| N/A | Да | Да | “Мы добавили защиту для реализации OpenSSL в Facebook еще до того, как было объявлено об этой уязвимости. Мы не обнаружили признаков подозрительной активности в аккаунтах, но призываем людей установить уникальные пароли” | |
| Нет | Нет | Нет | “Мы не используем уязвимую реализацию OpenSSL в www.linkedin.com или www.slideshare.net. Как результат, «Кровоточащее сердце» не представляет угрозы для этих сервисов.” | |
| Tumblr | Да | Да | Да | “У нас нет признаков каких-либо нарушений и, как и большинство других сетей, наша команда приняла меры по устранению проблем незамедлительно.” |
| N/A | N/A | N/A | Twitter пока не делал заявлений и не ответил на запрос. |
Крупные интернет-компании
|
Есть ли уязвимость? |
Есть ли патч? |
Надо ли поменять пароль? |
Заявление компании |
|
| Apple | N/A | N/A | N/A | Apple пока не делал заявлений и не ответил на запрос. |
| Amazon | Нет | Нет | Нет | “Amazon.com не подвержен уязвимости.” |
| Да | Да | Да* | “Мы оценили уязвимость SSL и применили патчи к основным сервисам Google.” Поиск, Gmail, YouTube, Wallet, Play, приложения.*Google пояснил пользователям, что им не обязательно менять пароли, но береженого бог бережет. | |
| Microsoft | Нет | Нет | Нет | Сервисы Microsoft не работают на OpenSSL. |
Электронная почта
|
Есть ли уязвимость? |
Есть ли патч? |
Надо ли поменять пароль? |
Заявление компании |
|
| Gmail | Да | Да | Да* | “Мы оценили уязвимость SSL и применили патчи к основным сервисам Google.” Поиск, Gmail, YouTube, Wallet, Play, приложения.*Google пояснил пользователям, что им не обязательно менять пароли, но береженого бог бережет. |
| Hotmail / Outlook | Нет | Нет | Нет | Сервисы Microsoft не работают на OpenSSL. |
| Yahoo Mail | Да | Да | Да | “Как только мы узнали об этой проблеме, мы начали работать над ее устранением… и мы работаем над тем, чтобы устранить ее на всех наших сайтах.” |
Электронная коммерция
|
Есть ли уязвимость? |
Есть ли патч? |
Надо ли поменять пароль? |
Заявление компании |
|
| Amazon | Нет | Нет | Нет | “Amazon.com не подвержен уязвимости.” |
| eBay | N/A | N/A | N/A | “Большинство наших сервисов не подпадает под уязвимость и наши пользователи могут продолжать безопасный шоппинг на нашей площадке.” |
| PayPal | Нет | Нет | Нет | “Ваш аккаунт PayPal не подвергался опасности в прошлом и не подвержен ей на сегодня.” Полный текст заявления |
Интернет-сервисы
|
Есть ли уязвимость? |
Есть ли патч? |
Надо ли поменять пароль? |
Заявление компании |
|
| Dropbox | Да | Да | Да | В Twitter: “Мы исправили все наши пользовательские сервисы и продолжим работу, чтобы убедиться, что все ваши данные в безопасности.” |
| Evernote | N/A | N/A | N/A | Evernote пока не делал заявлений и не ответил на запрос. |
| SoundCloud | Да | Да | Да | “Мы будем переподписывать каждого пользователя SoundCloud, после чего поправки, которые мы внесли, вступят в силу.” |
Источник: Mashable
