Интернет обсуждает уязвимость «Heartbleed» в самом популярном пакете OpenSSL, который используется для работы с протоколом HTTPS. Найденная уязвимость просто всполошила весь интернет и тем более все крупные сайты.
Большинство сайтов, но не ВСЕ исправили эту уязвимость, а 47% пользователей так и не сменили свои пароли, зная об уязвимости Heartbleed.
Напомним, что уязвимость Heartbleed в криптографической библиотеке OpenSSL позволяет атакующему считывать информацию в оперативной памяти веб-сервера, защищенного уязвимой версией OpenSSL. Это предоставляет злоумышленникам доступ к конфиденциальной информации на веб-сервере, такой как логины, пароли и номера кредитных карт пользователей, криптографические ключи и т.д.
Так стоит ли менять свои пароли?
Большинство финансовых организаций используют для генерации криптоключей не OpenSSL, а другие продукты – с закрытым исходным кодом. И потому пароли и банковские счета пользователей сервисов онлайн-банкинга, как правило, не находятся под угрозой утечки из-за Heartbleed. Однако пользователям стоит удостовериться в конфиденциальности своих учетных данных на других сайтах, и, при необходимости, сменить их. Для этого, в первую очередь, проверьте, имеет ли используемый Вами сайт уязвимость Heartbleed в настоящий момент.
С этой целью компания eScanMicroWorld разработала специальный сервис проверки сайтов на уязвимость, который можно найти на главной странице официального российского сайта по ссылке: www.avescan.ru
Помимо этого, обязательно проверьте, был ли сайт уязвим ранее, в одном из списков уязвимых ресурсов, например, этом. Если уязвимость Heartbleed была обнаружена ранее, а впоследствии закрыта, пользователям необходимо заменить свои пароли и логины для входа на сервисы сайта. Если же уязвимость присутствует до сих пор, и для входа используется лишь однофакторная идентификация, то при наличии ценной конфиденциальной информации в учетной записи стоит временно удалить свой аккаунт до решения проблемы. Смена идентификационных данных в такой ситуации не поможет.
Также эксперты eScan рекомендуют использовать для каждого сайта свой уникальный и стойкий к взлому (достаточно длинный и сложный) пароль, чтобы утечка учетных данных на одном сайте не служила ключом для легкого несанкционированного входа на другой ресурс.