Российских интернет-пользователей прикрыли от «дыры» в OpenSSL

Крупнейшие российские интернет-компании «Яндекс» и Mail.Ru Group заявили, что своевременно приняли меры для защиты своих пользователей от хакеров, которые потенциально могли использовать критическую уязвимость Heartbleed в популярном протоколе шифрования данных OpenSSL, сказали «Ленте.ру» в компаниях.

Эксперты по информационной безопасности из компаний Google и Codenomicon ранее на этой неделе обнаружили критическую ошибку Heartbleed в криптографическом пакете OpenSSL, которая позволяет хакерам получать доступ к данным интернет-пользователей ─ персональной информации, паролям, номерам банковских карт.

Протокол шифрования данных OpenSSL используют более половины веб-сайтов, работающих с защищенной информацией ─ в их числе почтовые сервисы, соцсети, платежные онлайн-системы. При этом уязвимость не была обнаружена в течение двух лет. По данным агентства Reuters, под угрозой могли оказаться пользователи многих популярных сервисов ─ Facebook, Twitter, Google, Yahoo и других. При этом сами пользователи практически ничего не могли сделать для своей защиты, и выпуск обновлений для устранения уязвимости требовался именно от онлайн-сервисов.

«Наши пользователи защищены от уязвимости Heartbleed. Мы начали устанавливать все необходимые обновления безопасности практически сразу после появления сообщения и завершили все работы всего через несколько часов. В этот самый опасный период ─ когда о проблеме узнало множество недоброжелателей ─ наша служба безопасности не зафиксировала массовых обращений к серверам «Яндекса», которые бы свидетельствовали об атаке», ─ сказала «Ленте.ру» пресс-секретарь «Яндекса» Ася Мелкумова.

По словам Мелкумовой, «Яндекс» проверил записи о входе пользователей на свои сервисы за весь период действия уязвимости и предложит сменить пароль тем пользователям, «чьи данные могли быть скомпрометированы даже теоретически». Кроме того, утверждает она, некоторые сервисы, включая «Яндекс.Деньги», вообще не подвергались угрозе, поскольку на их серверах не использовалась уязвимая версия протокола.

Вице-президент Mail.Ru Group Анна Артамонова также отметила, что пользователи ключевых сервисов компании не пострадали. «В наших пользовательских продуктах («Почта» и другие) мы использовали версию OpenSSL, в которой этой уязвимости не было. Единственными потенциально уязвимыми сервисами Mail.Ru Group стали баннерная система и несколько контент-проектов, однако уже к 14:00 8 апреля угроза была устранена», ─ говорит Артамонова.

Представитель Mail.Ru Group подчеркнула, что даже на потенциально уязвимых проектах Heartbleed не давала возможности получить доступ к личным данным, логинам или паролям пользователей. «Все, что теоретически могли сделать злоумышленники, ─ это получить авторизационные сессии (cookie) пользователей на этих проектах и скомпрометировать наши SSL-сертификаты. Все потенциально скомпрометированные сертификаты уже перевыпущены и заменены», ─ сказала она.

Софья Иванова, PR-директор объединенной компании «Афиша-Рамблер-SUP» (владеет сервисом «Рамблер-почта» также заявила об отсуствии проблем у пользователей сервиса в связи с выявленной уязвимостью алгоритма шифрования.

«Наши специалисты осуществляют постоянный мониторинг всех систем, задействованных в работе сервиса "Рамблер-почта", поэтому необходимые меры по дополнительной защите к личным доступам пользователей были предприняты незамедлительно. На данный момент нами не зафиксировано ни одного обращения в службу поддержки со стороны владельцев почты на "Рамблере"», - сказала Иванова.

Представители Facebook и Yahoo сказали Reuters, что также предприняли шаги для защиты пользователей от уязвимости, в Amazon отметили, что их процессы инцидент не затронул. В Google говорят, что устранили уязвимость на ранней стадии, и пользователям сервисов компании не нужно менять пароли.

В то же время, источник «Ленты.ру» на рынке инфобезопасности отмечает, что публичное раскрытие информации об уязвимости в OpenSSL произошло слишком быстро. Эксперты поставили под угрозу пользователей, не дав онлайн-сервисам возможности вовремя обновить ПО и не сообщив об ошибке уже после принятия мер по ее устранению.

Так, например, в феврале этого года специалисты из компании FireEye сообщили об уязвимости в платформе iOS через несколько дней после того, как Apple выпустила обновление с исправлением. В результате ошибка, которая могла использоваться злоумышленниками для установки вредоносных программ на мобильные устройства, не привлекла дополнительного внимания до того, как пользователи оказались вне опасности.

Обсудить
Обреченный на разрушение
Как живется людям на исчезающем острове в городской черте Архангельска
Вычищают до блеска
Путин проинспектировал уборку Арктики
Идите к ВОПу
Что изменится с превращением участковых терапевтов во врачей общей практики
Петр Лидов-Петровский: «Послужите! Людьми станете»
Стоит ли сегодня уклоняться от призыва в российскую армию
«Движуха, которой раньше не было»
Что стоит за протестной активностью юных россиян
Фарту масти
Как простые русские парни становятся легендами киберспорта
Распакуй — не распакуй
В Нью-Йорке представили два Samsung Galaxy S8
Красный — новый черный
Зачем люди скупают допотопные компьютеры и свитеры Apple
Замороженная стволовая клетка человека Внутренние бомбы
Как клеточный суицид помогает против рака и старости
Томми Эммануэль«Мысли о славе не дают свободно дышать»
Томми Эммануэль о бизнесе счастья, гитарах и пропаганде
Глубины глубинки
Редкие картины русского авангарда на выставке «До востребования. Часть II»
«Меня не напугать сильной, умной женщиной»
Режиссер «Большой маленькой лжи» Жан-Марк Валле о работе с Кидман и Уизерспун
«Клетка»Приятного аппетита
Как балерины Большого театра убили и съели всех мужчин труппы
Первый тест премиального «корейца» Genesis
Смог ли обновленный Genesis G80 догнать «немецкую тройку»? Спойлер: нет
Все конкуренты новому SsangYong Rexton
С кем будет бороться за покупателей новый корейский внедорожник
«Мерседес», который предсказал будущее
Забытые концепт-кары: Mercedes-Benz Auto 2000
50 оттенков Блока
Вспоминаем раскраски всех автомобилей Кена Блока
Талант расправил плечи
Лучшие архитектурные проекты 2017 года: от города в пустыне до термальных ванн
Адская машина
Ученые и урбанисты придумали, что делать с заполонившими города автомобилями
«Если у тебя нет любовника, квартире взяться неоткуда»
Исповедь россиянки, ставшей ипотечницей в 20 лет
Тариф «Хватит»
За услуги ЖКХ можно платить в разы меньше