Сменяйте паролите, някой си изкряска

Засега все още не е ясен броят на засегнатите български сайтове от дупката в сигурността на протокола OpenSSL

Съветът към потребителите е да сменят паролите си за уеб услугите, които ползват
Съветът към потребителите е да сменят паролите си за уеб услугите, които ползват    ©  Reuters
Съветът към потребителите е да сменят паролите си за уеб услугите, които ползват
Съветът към потребителите е да сменят паролите си за уеб услугите, които ползват    ©  Reuters

Все още не е ясно колко от най-популярните български интернет компании са засегнати от открития сериозен проблем в сигурността на уеб протокола за криптиране на данни OpenSSL. Бъгът, наречен Heartbleed, засегна редица популярни сайтове и услуги като Gmail, Facebook и Yahoo, които вече обявиха, че са защитили данните на потребителите си чрез пуснатия пач. Дупката в сигурността, която засяга сървъри, основно базирани на Linux, може да даде достъп до персонална информация като номера на кредитни карти, потребителски имена и пароли, а може би най-голямата опасност е евентуалния достъп до криптографски ключове, които дават на хакерите възможността да се представят за друг сайт и сървър.

Източници от българския технологичен бранш заявиха, че сайтовете, които ползват OpenSSL в страната са много и заплахата е сериозна. Според тях все пак засега тя по-скоро е потенциална, а не реална, тъй като няма данни за "откраднати" сайтове. Много от компаниите и банките у нас също така използват услугите на Microsoft, а те не са засегнати от Heartbleed. Все пак съветът към потребителите е да следят за подозрителни движения профилите и акаунтите си във всякакви уеб услуги, независимо дали социални мрежи, електронна поща или онлайн банкиране. Съветът към сайтовете, които са на споделен хостинг и са уязвими, е веднага да се свържат със своя доставчик.

"Не съществува опасност за данните на клиентите в ePay.bg и не се налагат никакви извънредни действия от тяхна страна", заявиха от системата за онлайн разплащания пред "Капитал". Компанията обяви, че прилага поредица от мерки като поддържане на най-новите версии на системен софтуер, използване на сертификати, съобразени с всички новости, вътрешни тестове и др. ePay.bg работи и със сертифицирана международна одиторска компания, която извършва постоянни "тестове за уязвимост" на системата.

Никой не знае точно кой и колко

Не е ясен точният брой и на ударените глобални сайтове и каква информация е била открадната в последните две години, през които е била налична дупката в сигурността. На сайта http://filippo.io/Heartbleed/ всеки може да провери дали дадена уебстраница е уязвима на атаки. Единственото, което потребителите могат да направят, е да сменят паролите си за уеб услугите, които ползват. Но тази мярка няма смисъл, ако преди това сайтовете не са приложили съответния пач за Heartbleed. Според компанията за интернет сигурност Netcraft около половин милион интернет страници, използващи OpenSSL, в момента са уязвими.

На сайта Heartbleed.com компанията за уеб сигурност Codenomicon обяви, че уязвимостта "позволява на хакерите да "подслушват" комуникации, директно да откраднат информация от услуги и потребители, както и да се представят за услуги и сървъри". Самата Codenomicon е хакнала собствените си сървъри и е успяла да открадне криптографски ключове, потребителски имена и пароли, мейли, документи и други данни.

Повечето водещи уеб услуги в света, ползващи OpenSSL, бързо успяха да защитят данните си чрез специалния пач. Все пак засегнати дотогава са били Google, Facebook, Yahoo, Dropbox, SoundCloud, Amazon Web Services, Tumblr и др. 

Още от Капитал