7 апреля 2014 года сообщество The Open SSL Project выпустило официальный бюллетень безопасности (
https://www.openssl.org/news/secadv_20140407.txt), в котором сообщается о наличии критичной уязвимости HeartBleed в популярной криптографической библиотеке OpenSSL.
Данная библиотека широко используется для шифрования Интернет-соединений:
• Большинства приложений интернет-банкинга
• Многих корпоративных VPN сетей
• Веб-порталов
• Почтовых клиентов
• Систем обмена текстовыми сообщениями (мессенджеров).
Используя данную уязвимость, злоумышленники могли получать прямой доступ к оперативной памяти компьютера, чьи коммуникации были зашифрованы уязвимой версией OpenSSL.
Имея доступ к оперативной памяти, злоумышленники получают возможность скомпрометировать секретные ключи, имена и пароли пользователей, а также информацию, передаваемую в зашифрованном виде. Важной особенностью данной атаки является то, что в атакуемой системе не остается никаких следов в журналах событий (логах).
Обнаруженная уязвимость была активна с марта 2012-го года!
По значимости, данный инцидент является критичнее известного взлома RSA SecurID® ключей в мае 2011-го года. В последствие компания RSA Security, входящая в компанию EMC, понесла крупные финансовые и репутационные убытки.
Шуму то не мало было. Рекомендую поменять пароли везде и всюду, не только интернет-банков кстати касается.
