Российских интернет-пользователей прикрыли от «дыры» в OpenSSL

Крупнейшие российские интернет-компании «Яндекс» и Mail.Ru Group заявили, что своевременно приняли меры для защиты своих пользователей от хакеров, которые потенциально могли использовать критическую уязвимость Heartbleed в популярном протоколе шифрования данных OpenSSL, сказали «Ленте.ру» в компаниях.

Эксперты по информационной безопасности из компаний Google и Codenomicon ранее на этой неделе обнаружили критическую ошибку Heartbleed в криптографическом пакете OpenSSL, которая позволяет хакерам получать доступ к данным интернет-пользователей ─ персональной информации, паролям, номерам банковских карт.

Протокол шифрования данных OpenSSL используют более половины веб-сайтов, работающих с защищенной информацией ─ в их числе почтовые сервисы, соцсети, платежные онлайн-системы. При этом уязвимость не была обнаружена в течение двух лет. По данным агентства Reuters, под угрозой могли оказаться пользователи многих популярных сервисов ─ Facebook, Twitter, Google, Yahoo и других. При этом сами пользователи практически ничего не могли сделать для своей защиты, и выпуск обновлений для устранения уязвимости требовался именно от онлайн-сервисов.

«Наши пользователи защищены от уязвимости Heartbleed. Мы начали устанавливать все необходимые обновления безопасности практически сразу после появления сообщения и завершили все работы всего через несколько часов. В этот самый опасный период ─ когда о проблеме узнало множество недоброжелателей ─ наша служба безопасности не зафиксировала массовых обращений к серверам «Яндекса», которые бы свидетельствовали об атаке», ─ сказала «Ленте.ру» пресс-секретарь «Яндекса» Ася Мелкумова.

По словам Мелкумовой, «Яндекс» проверил записи о входе пользователей на свои сервисы за весь период действия уязвимости и предложит сменить пароль тем пользователям, «чьи данные могли быть скомпрометированы даже теоретически». Кроме того, утверждает она, некоторые сервисы, включая «Яндекс.Деньги», вообще не подвергались угрозе, поскольку на их серверах не использовалась уязвимая версия протокола.

Вице-президент Mail.Ru Group Анна Артамонова также отметила, что пользователи ключевых сервисов компании не пострадали. «В наших пользовательских продуктах («Почта» и другие) мы использовали версию OpenSSL, в которой этой уязвимости не было. Единственными потенциально уязвимыми сервисами Mail.Ru Group стали баннерная система и несколько контент-проектов, однако уже к 14:00 8 апреля угроза была устранена», ─ говорит Артамонова.

Представитель Mail.Ru Group подчеркнула, что даже на потенциально уязвимых проектах Heartbleed не давала возможности получить доступ к личным данным, логинам или паролям пользователей. «Все, что теоретически могли сделать злоумышленники, ─ это получить авторизационные сессии (cookie) пользователей на этих проектах и скомпрометировать наши SSL-сертификаты. Все потенциально скомпрометированные сертификаты уже перевыпущены и заменены», ─ сказала она.

Софья Иванова, PR-директор объединенной компании «Афиша-Рамблер-SUP» (владеет сервисом «Рамблер-почта» также заявила об отсуствии проблем у пользователей сервиса в связи с выявленной уязвимостью алгоритма шифрования.

«Наши специалисты осуществляют постоянный мониторинг всех систем, задействованных в работе сервиса "Рамблер-почта", поэтому необходимые меры по дополнительной защите к личным доступам пользователей были предприняты незамедлительно. На данный момент нами не зафиксировано ни одного обращения в службу поддержки со стороны владельцев почты на "Рамблере"», - сказала Иванова.

Представители Facebook и Yahoo сказали Reuters, что также предприняли шаги для защиты пользователей от уязвимости, в Amazon отметили, что их процессы инцидент не затронул. В Google говорят, что устранили уязвимость на ранней стадии, и пользователям сервисов компании не нужно менять пароли.

В то же время, источник «Ленты.ру» на рынке инфобезопасности отмечает, что публичное раскрытие информации об уязвимости в OpenSSL произошло слишком быстро. Эксперты поставили под угрозу пользователей, не дав онлайн-сервисам возможности вовремя обновить ПО и не сообщив об ошибке уже после принятия мер по ее устранению.

Так, например, в феврале этого года специалисты из компании FireEye сообщили об уязвимости в платформе iOS через несколько дней после того, как Apple выпустила обновление с исправлением. В результате ошибка, которая могла использоваться злоумышленниками для установки вредоносных программ на мобильные устройства, не привлекла дополнительного внимания до того, как пользователи оказались вне опасности.

Обсудить
Джордж Гроувз и Федор Чудинов На британский флаг
Сможет ли Федор Чудинов увезти из Шеффилда титул чемпиона мира по боксу
«Дьяволы», покорившие Европу
«Манчестер Юнайтед» Жозе Моуринью впервые выиграл Лигу Европы
Ульяна Тригубчак«Пока не могу преодолеть стеснительность»
Девушка из группы поддержки «Салавата Юлаева» о самосовершенствовании и КХЛ
Бей, души, убивай
Социальные сети не просто следят за нашими чувствами, они управляют ими
Самоубийственные аресты
За борьбой с «группами смерти» может стоять конфликт в силовых структурах
Привет, жестокий мир
Боль, отчаяние и мужество в объективах самых талантливых молодых фотографов
Лучшее автомобильное видео мая
Две «Тойоты» врезаются друг в друга, британский спорткар соревнуется с самолетом и многое другое
Тест-драйв японского брата «Дастера»
Как Nissan Terrano стал еще ближе к Renault Duster
Чемпионы Формулы-1 в Инди-500
Те, кому «Королевских гонок» оказалось мало
15 машин на реактивной тяге
90-летняя история автомобилей с двигателями от самолетов и ракет
От нашего стола
Российские интерьеры, сводящие иностранцев с ума
Зависли на хате
Украинцы придумали дом, который может обойтись без российского газа
Москва за нами
Какие квартиры можно купить в пределах МКАД по цене до трех миллионов рублей
Сносное настроение
Демонтаж жилых домов в Москве: что нужно знать
Вышка светит
Как выглядит частный особняк, побивший мировой рекорд этажности