Российских интернет-пользователей прикрыли от «дыры» в OpenSSL

Крупнейшие российские интернет-компании «Яндекс» и Mail.Ru Group заявили, что своевременно приняли меры для защиты своих пользователей от хакеров, которые потенциально могли использовать критическую уязвимость Heartbleed в популярном протоколе шифрования данных OpenSSL, сказали «Ленте.ру» в компаниях.

Эксперты по информационной безопасности из компаний Google и Codenomicon ранее на этой неделе обнаружили критическую ошибку Heartbleed в криптографическом пакете OpenSSL, которая позволяет хакерам получать доступ к данным интернет-пользователей ─ персональной информации, паролям, номерам банковских карт.

Протокол шифрования данных OpenSSL используют более половины веб-сайтов, работающих с защищенной информацией ─ в их числе почтовые сервисы, соцсети, платежные онлайн-системы. При этом уязвимость не была обнаружена в течение двух лет. По данным агентства Reuters, под угрозой могли оказаться пользователи многих популярных сервисов ─ Facebook, Twitter, Google, Yahoo и других. При этом сами пользователи практически ничего не могли сделать для своей защиты, и выпуск обновлений для устранения уязвимости требовался именно от онлайн-сервисов.

«Наши пользователи защищены от уязвимости Heartbleed. Мы начали устанавливать все необходимые обновления безопасности практически сразу после появления сообщения и завершили все работы всего через несколько часов. В этот самый опасный период ─ когда о проблеме узнало множество недоброжелателей ─ наша служба безопасности не зафиксировала массовых обращений к серверам «Яндекса», которые бы свидетельствовали об атаке», ─ сказала «Ленте.ру» пресс-секретарь «Яндекса» Ася Мелкумова.

По словам Мелкумовой, «Яндекс» проверил записи о входе пользователей на свои сервисы за весь период действия уязвимости и предложит сменить пароль тем пользователям, «чьи данные могли быть скомпрометированы даже теоретически». Кроме того, утверждает она, некоторые сервисы, включая «Яндекс.Деньги», вообще не подвергались угрозе, поскольку на их серверах не использовалась уязвимая версия протокола.

Вице-президент Mail.Ru Group Анна Артамонова также отметила, что пользователи ключевых сервисов компании не пострадали. «В наших пользовательских продуктах («Почта» и другие) мы использовали версию OpenSSL, в которой этой уязвимости не было. Единственными потенциально уязвимыми сервисами Mail.Ru Group стали баннерная система и несколько контент-проектов, однако уже к 14:00 8 апреля угроза была устранена», ─ говорит Артамонова.

Представитель Mail.Ru Group подчеркнула, что даже на потенциально уязвимых проектах Heartbleed не давала возможности получить доступ к личным данным, логинам или паролям пользователей. «Все, что теоретически могли сделать злоумышленники, ─ это получить авторизационные сессии (cookie) пользователей на этих проектах и скомпрометировать наши SSL-сертификаты. Все потенциально скомпрометированные сертификаты уже перевыпущены и заменены», ─ сказала она.

Софья Иванова, PR-директор объединенной компании «Афиша-Рамблер-SUP» (владеет сервисом «Рамблер-почта» также заявила об отсуствии проблем у пользователей сервиса в связи с выявленной уязвимостью алгоритма шифрования.

«Наши специалисты осуществляют постоянный мониторинг всех систем, задействованных в работе сервиса "Рамблер-почта", поэтому необходимые меры по дополнительной защите к личным доступам пользователей были предприняты незамедлительно. На данный момент нами не зафиксировано ни одного обращения в службу поддержки со стороны владельцев почты на "Рамблере"», - сказала Иванова.

Представители Facebook и Yahoo сказали Reuters, что также предприняли шаги для защиты пользователей от уязвимости, в Amazon отметили, что их процессы инцидент не затронул. В Google говорят, что устранили уязвимость на ранней стадии, и пользователям сервисов компании не нужно менять пароли.

В то же время, источник «Ленты.ру» на рынке инфобезопасности отмечает, что публичное раскрытие информации об уязвимости в OpenSSL произошло слишком быстро. Эксперты поставили под угрозу пользователей, не дав онлайн-сервисам возможности вовремя обновить ПО и не сообщив об ошибке уже после принятия мер по ее устранению.

Так, например, в феврале этого года специалисты из компании FireEye сообщили об уязвимости в платформе iOS через несколько дней после того, как Apple выпустила обновление с исправлением. В результате ошибка, которая могла использоваться злоумышленниками для установки вредоносных программ на мобильные устройства, не привлекла дополнительного внимания до того, как пользователи оказались вне опасности.

Обсудить
«Религиозность нашего социума сильно переоценена»
Почему передача Исаакиевского собора РПЦ стала проблемой для церкви и общества
Валентина ТерешковаПо космическим законам
Как Терешкова принесла соревнование с американцами из космоса в политику
«У молодых вообще нет собственной позиции»
Почему современные студенты инфантильны, аполитичны и боятся протестов
Казус Чудновец
Чем закончится дело жительницы Катайска, осужденной за репост. Репортаж
Без ствола
Российские власти сокращают число владельцев гражданского оружия
Мне хардбольно
Как играют в самую травмоопасную военно-спортивную игру
Недостаток ресурсов при избытке амбиций
Что не так с индийской системой закупок оружия
Тир во время чумы
Как тренировка в стрелковом клубе обернулась смертью инструктора и ученика
Допрос обвиняемого - митрополита Петроградского Вениамина на судебном процессе по делу об изъятии церковных ценностей, проходившем в зале филармонииСидеть!
Как молодая советская власть карала своих граждан
Стрелять, Карл!
Подстреленный Гитлер и отпуск в фашистской Италии: обзор Sniper Elite 4
Ястреб сбит, ястреб сбит!
Пушка-ловушка, орлы и другие неожиданные способы уничтожить беспилотник
twen, Nr. 6, 1969, Фотография: Гвидо Мангольд, графика: Вилли Флекхаус«Опаснее тысячи порножурналов»
Король книжного и журнального дизайна Вилли Флекхаус
Pierre et Gilles, Sainte Marie MacKillop (Kylie Minogue), 1995, Collection privée (c) Pierre et GillesГолубо-розовое
Транссексуалы, проститутки и панки в латексе на снимках гей-пары Пьера и Жиля
Белая вдова
Кино недели с Денисом Рузаевым: от «Джеки» до «Тони Эрдманна»
Орхан Памук«Ни одна жизнь не достойна романа»
Орхан Памук о современной Турции и противостоянии Востока и Запада
Смерть вождя
Роли, по которым мы запомним Алексея Петренко
Ружье и палатка: уникальные автомобильные опции
Инструменты, ружье, пылесос и другие необычные вещи в комплекте с машиной
Ferrari для чемпиона
На аукционе продадут Ferrari Майка Тайсона
Летают, но низенько-низенько
11 машин, способные ехать по любой поверхности. Точнее, даже не ехать
20 роскошных авто. В камуфляже
Маскировка, которая нужна, чтобы стать заметным
Бог простит
В церкви нашли квартиру с красной мебелью и портретами в стиле поп-арт
Дворянское гнездо
Один из самых шикарных в мире домов нашли в диком лесу
«Пусть меня захоронят в отравленную, но родную землю»
Почему люди отказываются покидать чернобыльскую зону: реальные истории
Поставили баком
Англичане сделали идеальный дом из резервуара для воды