Bloomberg: АНБ США в течение нескольких лет пользовалось уязвимостью в системе шифрования данных OpenSSL

Агентство национальной безопасности США в знало об уязвимости в OpenSSL, популярной системе шифрования данных в Интернете, и эксплуатировало данную уязвимость в своих интересах. Об этом сообщило агентство Bloomberg со ссылкой на осведомленные источники.

Уязвимость была вызвана небольшим изменением в протоколе OpenSSL и привела к тому, что безопасность двух третей всех сайтов в сети интернет оказалась под угрозой, включая такие данные, как имена и пароли пользователей Twiiter, Yahoo, Dropbox и других популярных сайтов. Впервые широкой публике о Heartbleed стало известно 5 апреля, тогда же в OpenSSL были внесены изменения для решения проблемы. Сообщения об уязвимости привели к тому, что правительство Канады временно приостановило прием налоговых деклараций через электронные формы, а такие компании, как Cisco Systems и Juniper Networks, выпустили специальные патчи для своей продукции.

Об уязвимости, названной Heartbleed (в переводе с английского — «кровоточащее сердце»), АНБ было известно по меньшей мере с 2012г., и оно регулярно пользовалось ей для кражи личных данных пользователей. АНБ посвящает значительную часть своих ресурсов поиску подобных уязвимостей, прежде всего в популярных открытых протоколах, над которыми работает незначительное количество человек. Как отмечает Bloomberg, то, что АНБ долгое время пользовалось Heartbleed, никому о ней не сообщая, оставило данные миллионов пользователей уязвимыми перед киберпреступниками и разведслужбами других государств.

АНБ, в свою очередь, выступило с опровержением информации Bloomberg, заявив, что ей не было известно об уязвимости до тех пор, пока о ней не сообщили в апреле этого года, сообщило агентство РБК. Была ли уязвимость обнаружена кем-либо еще, помимо АНБ, в частности, хакерами, которые могли воспользоваться Heartbleed в своих целях, пока неизвестно. Как отмечают специалисты по компьютерной безопасности, свидетельств о том, что подобное произошло, пока нет.