Интернет-пользователей призывают сменить пароли

История с уязвимостью Heartbleed, обнаруженной в программной библиотеке OpenSSL, получила продолжение. Популярный блогосервис Tumblr, с недавних пор принадлежащий Yahoo, опубликовал призыв к смене паролей на всех интернет-ресурсах.

Администрация сайта подчёркивает, что никаких признаков взлома Tumblr она не обнаружила и закрыла "дыру" сразу же, как только о ней узнала. Однако специфика бага такова, что он позволяет злоумышленникам проникнуть в систему, не оставив никаких следов своего присутствия.

Именно поэтому в Tumblr считают, что пользователям следует позаботиться о защите своих аккаунтов во всех интернет-сервисах, где они зарегистрированы. Протокол SSL применяется для шифрования трафика повсеместно, и уязвимая версия OpenSSL использовалась на сотнях тысяч сайтов в течение двух лет.

"Возможно, стоит взять отгул на работе и потратить день на смену паролей везде – особенно в таких важных сервисах, как электронная почта, файловые хранилища и онлайн-банки. Все они могли пострадать от этого бага", – пишет команда Tumblr в своём блоге.

Уязвимость в OpenSSL, напомним, обнаружили исследователи Google и Codenomicon. "Дыра" в программном обеспечении, которое широко применяется на серверах популярных интернет-ресурсов, открывает злоумышленникам свободный доступ к памяти, в которой хранятся секретные ключи шифрования, имена пользователей, пароли и другие конфиденциальные данные. Баг появился в версии OpenSSL 1.0.1, выпущенной 14 марта 2012 года, и был устранён лишь обновлением OpenSSL 1.0.1g от 7 апреля 2014 года.

Впрочем, опасность может быть не так велика, как считают в администрации Tumblr. Уязвимая версия OpenSSL – далеко не единственная, и многие сервисы использовали тот вариант библиотеки, в котором "дыры" не было. Представители ряда интернет-компаний, в частности, российских Яндекса, ВКонтакте и Mail.Ru, заявили, что их проекты багом Heartbleed не затронуты, сообщает газета Ведомости. Некоторые эксперты по безопасности считают, что острой необходимости немедленно менять пароли на всех интернет-ресурсах нет – достаточно сделать это в тех сервисах, которые разослали соответствующие уведомления. Проверить, закрыта ли уязвимость на том или ином сайте, можно с помощью специального сервиса.