На этой неделе стало известно, что система шифрования OpenSSL, широко применяющаяся для защиты данных в Интернете, имеет серьезную уязвимость, делающую возможным несанкционированный доступ к множеству конфиденциальных данных. Уязвимость получила название «Кровоточащее сердце» и ставит под угрозу примерно две третьих имеющихся на сегодня веб-сайтов: благодаря ей можно получить доступ к идентификаторам и паролям пользователей. Многие интернет-компании, включая Yahoo!, заявили о модификации своих сайтов с целью защиты от этой угрозы, сообщила газета «Ведомости».
Владельцы онлайновых ресурсов стараются защищать свои сайты, но создание собственных средств шифрования — достаточно сложная вещь, и это способствовало массовому распространению пакета OpenSSL. Для многих название пакета фактически стало синонимом онлайнового шифрования. OpenSSL используется на сайтах министерства обороны и министерства национальной безопасности США. Представители компании Amazon полагают, что их клиенты, работающие с веб-сервисами Amazon (AWS), также применяют OpenSSL. В блоге компании говорится, что к вечеру 8 апреля проблема с уязвимостью для всех пользователей AWS уже была решена.
Уязвимость «Кровоточащее сердце» была характерна для некоторых версий пакета — она распространялась в сети в течение последних двух лет после появления версии OpenSSL 1.0.1. Иван Ристич, исследователь из компании Qualys, уже создал программу, позволяющую владельцу сайта проверить, угрожает ли эта уязвимость данному сайту. «Но если вы придаете действительно большое значение информационной защищенности, вам не следует пользоваться Интернетом в течение нескольких дней, пока проблема не будет решена полностью», — считает Роджер Динглдайн, президент Tor Project — сервиса, позволяющего пользователю сохранить анонимность в сети.
