Organizațiile care furnizează servicii prin Internet au solicitat utilizatorilor să schimbe parolele de acces după ce o vulnerabilitate a fost descoperită în sistemul de securitate OpenSSL.
Serviciul de bloguri al lui Tumblr Yahoo a recomandat ca utilizatorii de Internet "să schimbe toate parolele, în special cele care oferă acces la servicii bancare, e-mail și fișiere virtuale de fișiere".
Informațiile anterioare au arătat că produsul software OpenSSL, care asigură securitatea transmisiei de date, ar putea fi utilizat pentru a intercepta informații personale.
Pachetul criptografic OpenSSL este utilizat pe scară largă pentru criptarea datelor atunci când se transferă informații de la computerul unui utilizator la serverul unui furnizor de servicii. Descifrarea acestor informații fără o cheie specială este aproape imposibilă.
Luni, Google Security și compania finlandeză Codenomicon au raportat că vulnerabilitatea în OpenSSL a existat de mai bine de doi ani. Defectele descoperite ar putea permite găsirea cheilor secrete, care conțin informații despre companiile care utilizează acest pachet criptografic.
Situație gravă
Este raportat că, dacă un atacator a făcut copii ale acestor chei, el putea accesa numele de utilizator și parolele acestora. De asemenea, cu ajutorul datelor personale primite, este posibil să se creeze site-uri false, cu un fel diferit de cele existente, pentru a induce în eroare un utilizator care nu se întreabă.
Vulnerabilitatea, care a permis interceptarea datelor între utilizator și serverul furnizorului, a fost numită Heartbleed Bug.
Nu este încă clar dacă cineva a reușit să profite de această vulnerabilitate, deoarece astfel de acțiuni ar rămâne neobservate.
După cum a aflat BBC, Google a raportat mai întâi un defect mai multor organizații și doar a publicat aceste informații.
Aparent, Yahoo nu a anunțat compania despre problema în prealabil și, după cum a raportat site-ul Cnet, înainte ca vulnerabilitatea să fie eliminată, cineva a reușit să obțină login-urile și parolele utilizatorilor.
„Echipa noastră a fost capabil de a rezolva problema în domeniul serviciilor majore Yahoo -. Pagina de pornire Yahoo, căutarea Yahoo căutare, servicii de e-mail Yahoo Mail si Yahoo Finance, Yahoo Sports, Yahoo alimentar, Yahoo Tech, Flickr și Tumblr Acum vom remedia acest defect și altele site-uri ale companiei ", - a informat secretarul de presă al Yahoo.
Compania NCC Group, specializată în furnizarea de securitate Internet pentru companiile mari, a numit situația serioasă.
„Pentru a exploata această vulnerabilitate, acum necesită mult mai puține competențe decât acum 36 de ore Oricine de specialitate în domeniul programelor de calculator de scriere ar putea hack în sistemul de defect și de a lua mâinile lor pe informații personale.“, - a spus el într-un interviu cu BBC și director adjunct al companiei Olli Whitehouse.
"După ce furnizorii de servicii de Internet își actualizează software-ul, utilizatorii sunt sfătuiți să schimbe parolele", a adăugat el.
Internetul are un site web unde puteți verifica care companii au actualizat deja produsele software. Dar pentru a afla dacă există o vulnerabilitate mai devreme nu este atât de simplă.
Site-urile companiilor care utilizează programul Microsoft Internet Information Services nu au fost supuse amenințării cu interceptarea datelor. Dar, potrivit companiei Codenmonicon, mai mult de 66% din site-urile Internet folosesc sistemele Apache și Nginx, care utilizează OpenSSL.
Dar chiar și în acest caz, unele site-uri au folosit un serviciu numit "privacy direct perfect", care limitează numărul de conexiuni care pot fi interceptate.
Stephen Murdoch de la laboratorul de calculatoare de la Universitatea din Cambridge a spus că nu este nevoie să aruncați imediat toate cazurile și să schimbați parolele, dar există încă motive de îngrijorare.
„Cred că probabilitatea de interceptare a parolei variază de la mic la caz curent de mediu diferă de cele în care nu este atât de urgentă acum publicate pe internet o listă de parole ..“ - a spus el.
"Dar schimbarea parolelor este ușoară, așa că nu este nimic în neregulă cu asta, dar trebuie să te grăbești numai dacă primești o notificare specială de la site-ul pe care ești înregistrat", a adăugat el.