Сменяйте паролите, някой си изкряска
Абонирайте се за Капитал

Всеки петък икономически анализ и коментар на текущите събития от седмицата.
Съдържанието е организирано в три области, за които Капитал е полезен:

K1 Средата (политическа, макроикономическа регулаторна правна)
K2 Бизнесът (пазари, продукти, конкуренция, мениджмънт)
K3 Моят капитал (лични финанси, свободно време, образование, извън бизнеса).

Абонирайте се за Капитал

Сменяйте паролите, някой си изкряска

Съветът към потребителите е да сменят паролите си за уеб услугите, които ползват

Сменяйте паролите, някой си изкряска

Засега все още не е ясен броят на засегнатите български сайтове от дупката в сигурността на протокола OpenSSL

11157 прочитания

Съветът към потребителите е да сменят паролите си за уеб услугите, които ползват

© Reuters


Все още не е ясно колко от най-популярните български интернет компании са засегнати от открития сериозен проблем в сигурността на уеб протокола за криптиране на данни OpenSSL. Бъгът, наречен Heartbleed, засегна редица популярни сайтове и услуги като Gmail, Facebook и Yahoo, които вече обявиха, че са защитили данните на потребителите си чрез пуснатия пач. Дупката в сигурността, която засяга сървъри, основно базирани на Linux, може да даде достъп до персонална информация като номера на кредитни карти, потребителски имена и пароли, а може би най-голямата опасност е евентуалния достъп до криптографски ключове, които дават на хакерите възможността да се представят за друг сайт и сървър.

Източници от българския технологичен бранш заявиха, че сайтовете, които ползват OpenSSL в страната са много и заплахата е сериозна. Според тях все пак засега тя по-скоро е потенциална, а не реална, тъй като няма данни за "откраднати" сайтове. Много от компаниите и банките у нас също така използват услугите на Microsoft, а те не са засегнати от Heartbleed. Все пак съветът към потребителите е да следят за подозрителни движения профилите и акаунтите си във всякакви уеб услуги, независимо дали социални мрежи, електронна поща или онлайн банкиране. Съветът към сайтовете, които са на споделен хостинг и са уязвими, е веднага да се свържат със своя доставчик.

"Не съществува опасност за данните на клиентите в ePay.bg и не се налагат никакви извънредни действия от тяхна страна", заявиха от системата за онлайн разплащания пред "Капитал". Компанията обяви, че прилага поредица от мерки като поддържане на най-новите версии на системен софтуер, използване на сертификати, съобразени с всички новости, вътрешни тестове и др. ePay.bg работи и със сертифицирана международна одиторска компания, която извършва постоянни "тестове за уязвимост" на системата.

Никой не знае точно кой и колко

Не е ясен точният брой и на ударените глобални сайтове и каква информация е била открадната в последните две години, през които е била налична дупката в сигурността. На сайта http://filippo.io/Heartbleed/ всеки може да провери дали дадена уебстраница е уязвима на атаки. Единственото, което потребителите могат да направят, е да сменят паролите си за уеб услугите, които ползват. Но тази мярка няма смисъл, ако преди това сайтовете не са приложили съответния пач за Heartbleed. Според компанията за интернет сигурност Netcraft около половин милион интернет страници, използващи OpenSSL, в момента са уязвими.

На сайта Heartbleed.com компанията за уеб сигурност Codenomicon обяви, че уязвимостта "позволява на хакерите да "подслушват" комуникации, директно да откраднат информация от услуги и потребители, както и да се представят за услуги и сървъри". Самата Codenomicon е хакнала собствените си сървъри и е успяла да открадне криптографски ключове, потребителски имена и пароли, мейли, документи и други данни.

Повечето водещи уеб услуги в света, ползващи OpenSSL, бързо успяха да защитят данните си чрез специалния пач. Все пак засегнати дотогава са били Google, Facebook, Yahoo, Dropbox, SoundCloud, Amazon Web Services, Tumblr и др. 

Все още не е ясно колко от най-популярните български интернет компании са засегнати от открития сериозен проблем в сигурността на уеб протокола за криптиране на данни OpenSSL. Бъгът, наречен Heartbleed, засегна редица популярни сайтове и услуги като Gmail, Facebook и Yahoo, които вече обявиха, че са защитили данните на потребителите си чрез пуснатия пач. Дупката в сигурността, която засяга сървъри, основно базирани на Linux, може да даде достъп до персонална информация като номера на кредитни карти, потребителски имена и пароли, а може би най-голямата опасност е евентуалния достъп до криптографски ключове, които дават на хакерите възможността да се представят за друг сайт и сървър.

Източници от българския технологичен бранш заявиха, че сайтовете, които ползват OpenSSL в страната са много и заплахата е сериозна. Според тях все пак засега тя по-скоро е потенциална, а не реална, тъй като няма данни за "откраднати" сайтове. Много от компаниите и банките у нас също така използват услугите на Microsoft, а те не са засегнати от Heartbleed. Все пак съветът към потребителите е да следят за подозрителни движения профилите и акаунтите си във всякакви уеб услуги, независимо дали социални мрежи, електронна поща или онлайн банкиране. Съветът към сайтовете, които са на споделен хостинг и са уязвими, е веднага да се свържат със своя доставчик.


Благодарим ви, че четете Капитал!

Вие използвате поверителен режим на интернет браузъра си. За да прочетете статията, трябва да влезете в профила си.
Влезте в профила си
Всеки потребител може да чете до 10 статии месечно без да има абонамент за Капитал.
Вижте абонаментните планове

16 коментара
  • 1
    realismisthename avatar :-|
    realismisthename

    Лоша новина. Все пак има известна доза позитивизъм - вече никога няма да се налага да слушам вманиячени линукс типове, обясняващи ми как съм незащитен пещерняк поради факта, че използвам друга платформа.

  • 2
    jddi avatar :-|
    Димов

    До коментар [#1] от "realismisthename":

    OpenSSL няма общо с Linux - http://en.wikipedia.org/wiki/OpenSSL.

  • 3
    realismisthename avatar :-|
    realismisthename

    До коментар [#2] от "Димов":

    Разбирам, не го знаех. Извода си го направих от цитирам:

    "Дупката в сигурността, която засяга сървъри, основно базирани на Linux"

    "Много от компаниите и банките у нас също така използват услугите на Microsoft, а те не са засегнати от Heartbleed. "

  • 4
    anitamihaylova avatar :-|
    anitamihaylova

    Хубави сайтове са били засегнати ...

  • 5
    excellgate avatar :-|
    Excellgate

    Аз си сменям всичко....всеки ден.

  • 6
    thebravoman avatar :-|
    thebravoman

    "дупката в сигурността на протокола OpenSSL" е грешно.

    OpenSSL не е протокол, а имплементация. Протоколът е SSL/TSL и в него няма нищо сбъркано.

    Проблемът е сериозен, но хубавото е, че знаем за него и бързо бе оправен. Можете ли да си представите количеството "пропуски" за които незнаем, особено в имплементации до чиито код нямаме достъп.

  • 7
    andthensome avatar :-P
    andthensome

    До коментар [#6] от "thebravoman":

    Да не би да четеш кода на тези, които са с отворен всеки ден...
    Този спор е безсмислен.

  • 8
    korki avatar :-|
    Krasimir Koev

    Тук проблема е друг.На глобално ниво - и съм сигурен,че някой хора са знаели още преди година и половина за този проблем.Още повече,че един от тях познавам лично...

  • 9
    xyha avatar :-|
    xyha

    До коментар [#2] от "Димов":

    Това е все едо да кажеш , че Explorer няма общо с Windows . OpenSSL е стандартен пакет за всяка дистрибуция .

  • 10
    xyha avatar :-|
    xyha

    Според мен не е бъг а си е нарочно оставена вратичка .


Нов коментар

За да публикувате коментари,
трябва да сте регистриран потребител.


Вход

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. OK