Минулої ночі ми, як і майже всі інші сайти в Інтернеті, опублікували історію про дуже велику і небезпечну помилку безпеки OpenSSL, яку назвали Heartbleed. Помилка залишає великі частини Інтернету відкритими для зловмисних хакерів, щоб викрасти вхід, кредитні картки та ключі шифрування. По суті, сайти, які вважали, що вони захищають дані користувача, шифруючи їх, не робили цього, не з власної вини, протягом більше двох років.

Потенціал для шкоди полягає в тому, що зашифровані дані і крипто-ключі для розблокування даних можуть мати

були викрадені з серверів. Ваші пристрої безпосередньо не змінюються. Програмне забезпечення та послуги, які ви використовуєте, можуть з'єднуватися з серверами, які могли вплинути на ваші дані. Помилка Heartbleed не залишає жодного сліду в журналах, тому неможливо відстежити і визначити, чи вплинув веб-сайт чи ні. Сьогоднішня інформація свідчить, що постраждало більше 500 000 серверів.

Випущено виправлення, але користувачам Інтернету пропонують приймати запобіжні заходи і змінювати паролі або бути готовими. Є неофіційно список постраждалих сайтів і незадіяних сайтів, розміщених на GitHub. Існує також перевірка сайтів, де можна ввести інформацію про сайт, щоб перевірити, чи впливає на нього.

Yahoo, OKCupid, Ars Technica і Tumblr повідомили користувачів про вживання запобіжних заходів та зміни паролів після виправлення їхніх сайтів. Хоча я не отримав електронну пошту особисто від Yahoo.

Що ви можете зробити, щоб уникнути Heartbleed?

1. Перегляньте неофіційний список сайтів, які можна відвідати. Звичайно, це не вичерпний список.
2. Уникайте входу на постраждалі сайти, доки не буде опубліковано всі дані.
3. Зв'яжіться з підприємствами (наприклад, з банками), які ви використовуєте, і запитайте, чи вони постраждали від цього, та отримуйте повідомлення про те, коли все знову зрозуміло.
4. Підготуйтеся до зміни облікових даних для входу. Але не вносити зміни, поки сайт не буде виправлений. Ви повинні надати пріоритет обліковим записам електронної пошти та банківським і фінансовим рахункам.
5. Якщо ви запускаєте веб-переглядач Chrome, установіть Chromebleed Checker. Розширення виконується у фоновому режимі та відображатиме попередження, якщо це вплине на сайт. GottaBeMobile.com не впливає.
6. Зверніть увагу на фінансові рахунки протягом наступних кількох тижнів, щоб спостерігати за будь-якою незвичайною діяльністю.

Як завжди приймайте будь-які запобіжні заходи, які ви вважаєте необхідними. Ці типи історій зазвичай розгортаються протягом певного періоду часу, і ми опублікуємо оновлення, як ми їх отримаємо. Існує хороше читання на Heartbleed Bug, OpenSSL і багато іншого тут і тут.