Спецслужбы США два года использовали уязвимость Heartbleed для перехвата данных

Агентство национальной безопасности США в течение двух лет использовало уязвимость пакета OpenSSL, обнаруженную на этой неделе, пишет Bloomberg.

NSA-Heartbleed-1

Подобную возможность не исключали некоторые эксперты, а теперь ее подтвердили сразу два анонимных источника, близких к спецслужбам США. Обнаружив уязвимость около двух лет назад, сотрудники АНБ предпочли не предавать эту информацию огласке, решив использовать ее в собственных целях. Таким образом, спецслужба фактически могла иметь доступ к 65% всех серверов, получая данные учетных записей пользователей.

Позднее представители властей США выступили с опровержением этой информации. “Заявления о том, что АНБ или другие службы знали об уязвимости до 2014 года, не соответствуют действительности”, – говорится в сообщении, поступившем из управления директора Национальной разведки.

В пятницу немецкий программист Робин Зеггельман, который и добавил в пакет OpenSSL критическую уязвимость Heartbleed, дал интервью, в котором заявил, что сделал это непреднамеренно. Он подчеркнул, что ошибка оказалась в коде случайно. Ее не заметил также и специалист, проверявший работу Зеггельмана, в результате чего она не была удалена из финальной версии очередного релиза OpenSSL.

Об ошибке в пакете OpenSSL стало известно примерно неделю назад. Два года личные данные пользователей, в том числе пароли и номера банковских карт, находились под угрозой. Протокол OpenSSL используют свыше половины сайтов с защищенной информацией, в том числе почтовые сервисы, платежные онлайн-системы и социальные сети, например Facebook и Twitter. При этом сами пользователи не имеют возможности защитить себя от утечки информации.

Обнаруженная ошибка была связана с отсутствием необходимой проверки длины запроса в одной из процедур расширения Heartbeat. Из-за этого любой злоумышленник мог получить прямой доступ к памяти компьютеров, чьи коммуникации были защищены уязвимой версией OpenSSL.

Большинство экспертов назвало Heartbleed одной из самых серьезных угроз безопасности за всю историю интернета. Чтобы обезопасить себя на будущее, пользователям различных интернет-сервисов рекомендуется изменить пароли, предварительно убедившись, что администраторы этих сервисов установили исправленную версию OpenSSL и перевыпустили сертификаты безопасности.

Apple заявила, что уязвимость Heartbleed не затронула операционные системы iOS, OS X и ключевые облачные сервисы компании.

Источник: MacDigger.ru


10 комментариев

  • Если простые юзеры не в курсе, то поведаю. Прежде чем, хорошая уязвимость утекает в паблик и о ней все узнают, ее в андеграунде годик-другой юзают те кто в теме и/или те кто ее прикупил. Поэтому, как только о ней узнаю простые смерные из новостей, она тут же становится неинтересной и почти не актуальной, разве что кул-хацкеры, которые начитаются журналов, побегут че-то там копи-пастить поимев пару юзверей :) в андеграунде есть все, на любую операционную систему в том числе и на iOS разных версий, будь то эксплоит или уже готовый вирь. так было, есть и будет, ибо это приносит нехилое бабло.
  • Mr Medvedev 5 лет назад
    0
    Вот кто нибудь мне, юристу ,который использует iPhone для звонков и музыки объяснит мне что такое вообще openSSL и какая мне чертовая разница что у них есть моя учетная запись ,как по мне,то для рядовых пользователей поср*ать что они там знают историю порнушки в сафари ..
    • По желанию, можно было получить доступ ко многим вашим паролям, данным ваших банковских карт и т.д. На хабре один человек писал, что у него сперли деньги с яндекс кошелька
    • Юристы не слышали ни про гугл, ни про яндекс, ни про википедию, предпочитая оставаться в счастливом неведении.
    • вот в наглядности лишь только маленькая статейка со скриншотом линк Если почтой приходилось пользоваться по работе, то - никакой коммерческой тайны больше мржет и не быть. даже если пользуемся Блэкберри(до определенного момента считалась самойзащищенной системой) то тоже не проблема с этой дырой было читать всю твою ком.тайну. ну и на последок - пользуемся мобильным банком?? Пользовались iMessage??? Все это работает на SSL
  • Ещё один повод порадоваться тому, что я отказалась от пользования Виндой. :)
    • И как вам это помогает в данном случае? Речь идет о данных на серверах, а не на компьютерах пользователей.
      • Прочитайте последний абзац в тексте (то, что завила Apple). Xoтя, я понимаю, что вам это всё равно будет бесполезно. Hi-Tec - это не для русского ума.
  • юристы - ананисты.
  • Новость конечно крутая, ну спёрли и что? США-бутафория демократии, для америкосов-это проблема, а я даже не парюсь!