Ostatniej nocy, podobnie jak prawie każda inna strona w Internecie, opublikowaliśmy historię o bardzo dużym i niebezpiecznym błędzie bezpieczeństwa OpenSSL o nazwie Heartbleed. Błąd pozostawia dużą część Internetu otwartą dla złośliwych hakerów do kradzieży loginu, karty kredytowej i kluczy szyfrowania. Zasadniczo witryny, które uważały, że chronią dane użytkowników przez ich szyfrowanie, nie robią tego, bez własnej winy, przez ponad dwa lata.

Potencjalnie szkodliwe jest to, że zaszyfrowane dane i klucze kryptograficzne umożliwiają odblokowanie danych

został skradziony z serwerów. Twoje urządzenia pozostają bez zmian. Oprogramowanie i usługi, z których korzystasz, mogą łączyć się z serwerami, które mogły mieć wpływ na ujawnianie danych. Błąd Heartbleed nie pozostawia żadnych śladów w dziennikach, więc nie ma możliwości cofnięcia się i stwierdzenia, czy witryna została naruszona, czy nie. Nowe informacje mówią dziś, że dotyczyło to ponad 500 000 serwerów.

Wydano poprawkę, ale użytkownikom Internetu nakazuje się podjęcie środków ostrożności i zmianę haseł lub przygotowanie się. Tam jest nieoficjalny lista witryn, których dotyczy problem, oraz witryn niezmienionych na GitHub. Istnieje również moduł sprawdzania witryny, w którym można wprowadzić informacje o witrynie, aby sprawdzić, czy ma to wpływ, czy nie.

Yahoo, OKCupid, Ars Technica i Tumblr powiadomili użytkowników o podjęciu środków ostrożności i zmianie haseł po poprawieniu ich witryn. Chociaż nie otrzymałem osobiście e-maila od Yahoo.

Co możesz zrobić, aby uniknąć Heartbleed?

1. Zeskanuj nieoficjalną listę witryn, które możesz odwiedzić. Z pewnością nie jest to wyczerpująca lista.
2. Unikaj logowania się na zagrożonych stronach, dopóki nie zostanie opublikowany cały komunikat.
3. Skontaktuj się z firmami (takimi jak banki), których używasz, i zapytaj, czy są one dotknięte problemem, i zostań powiadomiony, gdy wszystko stanie się jasne.
4. Przygotuj się do zmiany danych logowania. Ale nie wprowadzaj zmian, dopóki witryna nie zostanie załatana. Należy priorytetowo traktować konta e-mail oraz konta bankowe i finansowe.
5. Jeśli używasz przeglądarki Chrome, zainstaluj kontroler Chromebleed. Rozszerzenie działa w tle i wyświetli alert, jeśli witryna zostanie naruszona. Nie ma to wpływu na GottaBeMobile.com.
6. Zwróć uwagę na konta finansowe w ciągu najbliższych kilku tygodni, aby obserwować wszelkie nietypowe działania.

Jak zawsze podejmuj wszelkie niezbędne środki ostrożności. Tego typu historie zazwyczaj rozwijają się przez pewien czas i będziemy publikować aktualizacje tak, jak je mamy. Jest dobre czytanie na temat Heartbleed Bug, OpenSSL i więcej tutaj i tutaj.