Российских интернет-пользователей прикрыли от «дыры» в OpenSSL | Ofisp.org

Российских интернет-пользователей прикрыли от «дыры» в OpenSSL

11 апреля 201411:11

Крупнейшие российские интернет-компании «Яндекс» и Mail.Ru Group заявили, что своевременно приняли меры для защиты своих пользователей от хакеров, которые потенциально могли использовать критическую уязвимость Heartbleed в популярном протоколе шифрования данных OpenSSL, сказали «Ленте.ру» в компаниях.

Эксперты по информационной безопасности из компаний Google и Codenomicon ранее на этой неделе обнаружили критическую ошибку Heartbleed в криптографическом пакете OpenSSL, которая позволяет хакерам получать доступ к данным интернет-пользователей ─ персональной информации, паролям, номерам банковских карт.

Протокол шифрования данных OpenSSL используют более половины веб-сайтов, работающих с защищенной информацией ─ в их числе почтовые сервисы, соцсети, платежные онлайн-системы. При этом уязвимость не была обнаружена в течение двух лет. По данным агентства Reuters, под угрозой могли оказаться пользователи многих популярных сервисов ─ Facebook, Twitter, Google, Yahoo и других. При этом сами пользователи практически ничего не могли сделать для своей защиты, и выпуск обновлений для устранения уязвимости требовался именно от онлайн-сервисов.

«Наши пользователи защищены от уязвимости Heartbleed. Мы начали устанавливать все необходимые обновления безопасности практически сразу после появления сообщения и завершили все работы всего через несколько часов. В этот самый опасный период ─ когда о проблеме узнало множество недоброжелателей ─ наша служба безопасности не зафиксировала массовых обращений к серверам «Яндекса», которые бы свидетельствовали об атаке», ─ сказала «Ленте.ру» пресс-секретарь «Яндекса» Ася Мелкумова.

По словам Мелкумовой, «Яндекс» проверил записи о входе пользователей на свои сервисы за весь период действия уязвимости и предложит сменить пароль тем пользователям, «чьи данные могли быть скомпрометированы даже теоретически». Кроме того, утверждает она, некоторые сервисы, включая «Яндекс.Деньги», вообще не подвергались угрозе, поскольку на их серверах не использовалась уязвимая версия протокола.

Вице-президент Mail.Ru Group Анна Артамонова также отметила, что пользователи ключевых сервисов компании не пострадали. «В наших пользовательских продуктах («Почта» и другие) мы использовали версию OpenSSL, в которой этой уязвимости не было. Единственными потенциально уязвимыми сервисами Mail.Ru Group стали баннерная система и несколько контент-проектов, однако уже к 14:00 8 апреля угроза была устранена», ─ говорит Артамонова.

Представитель Mail.Ru Group подчеркнула, что даже на потенциально уязвимых проектах Heartbleed не давала возможности получить доступ к личным данным, логинам или паролям пользователей. «Все, что теоретически могли сделать злоумышленники, ─ это получить авторизационные сессии (cookie) пользователей на этих проектах и скомпрометировать наши SSL-сертификаты. Все потенциально скомпрометированные сертификаты уже перевыпущены и заменены», ─ сказала она.

Софья Иванова, PR-директор объединенной компании «Афиша-Рамблер-SUP» (владеет сервисом «Рамблер-почта» также заявила об отсуствии проблем у пользователей сервиса в связи с выявленной уязвимостью алгоритма шифрования.

«Наши специалисты осуществляют постоянный мониторинг всех систем, задействованных в работе сервиса "Рамблер-почта", поэтому необходимые меры по дополнительной защите к личным доступам пользователей были предприняты незамедлительно. На данный момент нами не зафиксировано ни одного обращения в службу поддержки со стороны владельцев почты на "Рамблере"», - сказала Иванова.

Представители Facebook и Yahoo сказали Reuters, что также предприняли шаги для защиты пользователей от уязвимости, в Amazon отметили, что их процессы инцидент не затронул. В Google говорят, что устранили уязвимость на ранней стадии, и пользователям сервисов компании не нужно менять пароли.

В то же время, источник «Ленты.ру» на рынке инфобезопасности отмечает, что публичное раскрытие информации об уязвимости в OpenSSL произошло слишком быстро. Эксперты поставили под угрозу пользователей, не дав онлайн-сервисам возможности вовремя обновить ПО и не сообщив об ошибке уже после принятия мер по ее устранению.

Так, например, в феврале этого года специалисты из компании FireEye сообщили об уязвимости в платформе iOS через несколько дней после того, как Apple выпустила обновление с исправлением. В результате ошибка, которая могла использоваться злоумышленниками для установки вредоносных программ на мобильные устройства, не привлекла дополнительного внимания до того, как пользователи оказались вне опасности.

Похожие материалы

23.12.2013
Нижняя палата российского парламента окончательно одобрила законопроект о досудебной блокировке интернет-сайтов, где размещаются призывы к несанкционированным властями акциям протеста. Как передает корреспондент РИА «Новый Регион», документ, который многие политики и эксперты, называют введением цензуры в Сети, сегодня был принят без обсуждения.
01.12.2013
Студии креатива и творчества – это не только совокупность разнообразных оригинальных идей, а это еще и сотрудничество с интересными современными продвинутыми личностями, воображение которых далеко отходит от установленных обществом рамок и приоритетов. Именно здесь рождаются нетипичные смелые предложения, способны удивить публику, а для более скромных клиентов настоящие гуру-дизайнеры всегда готовы настроиться на сдержанную волну классического педантичного стиля.
15.10.2014
Одним из наиболее востребованных сфер деятельности, является бизнес интернет-провайдера. Его организация многим может показаться необыкновенно сложной. Однако, это только в техническом вопросе. Если же рассматривать не всю техническую сторону, а только бизнес-схему интернет провайдинга, то её можно свести к четырём пунктам: приобретение оборудования, оформление, лицензирование, сдача узла в эксплуатацию.
09.08.2014
В качестве платформы для организации доступа можно использовать Windows Server 2008 как самую актуальную и надежную версию серверных программных продуктов. Для начала можно настроить необходимые сетевые интерфейсы. В этом случае потребуются настройки DHCP. В качестве внутреннего интерфейса можно использовать любой статический IP с маской 24.
23.01.2013
Факт разработки Windows Blue уже ни для кого не является секретом, а 7 мая Microsoft официально анонсировала это дополнение для Windows 8. Директор по маркетингу и финансам Тами Реллер заявила, что обновление выйдет в конце года, ближе к праздничному сезону. По ее словам, Windows Blue – внутреннее название, и к моменту релиза, скорее всего, ОС получит другое наименование. Как отметила Тами Реллер в интервью The Verge, разработчики внимательно прислушиваются к пожеланиям пользователей и стараются учитывать их. В частности, Microsoft в курсе многочисленных просьб вернуть в Windows 8 кнопку «Пуск».

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв