17 апреля 2014 г.

Facebook, Google, Amazon и др. советуют пользователям немедленно сменить пароли в своих сервисах в связи с угрозой бага Heartbleed.

Опасный баг Heartbleed, который обнаружился в OpenSSL, криптографическом протоколе с открытым исходным кодом, заставил системных администраторов срочно предпринять меры по защите базовых серверов, обслуживающих многие популярные онлайн-сервисы. Администраторы аннулируют также ключи, связанные с цифровыми сертификатами, которые подтверждают подлинность вебсайта или сервиса, сообщает финская фирма тестирования безопасности Codenomicon, которая создала специальный вебсайт, посвященный этой проблеме.

Пользователям онлайн-услуг также нужно принять меры, говорят эксперты, поскольку могут оказаться затронутыми сотни тысяч серверов, в том числе те, что предоставляют Google, Yahoo и Dropbox. Многие поставщики услуг настоятельно рекомендуют пользователям сменить свои пароли.

Итак, кому нужно срочно позаботиться о безопасности?

Сервисы Google: Gmail и др.

Компания Google опубликовала заявление в своем официальном блоге по безопасности, обрисовав принятые меры по устранению уязвимости. В нем не было сказано, что пользователи должны сменить свои пароли, но компания подводит их к мысли, что в целях безопасности полезно время от времени менять пароль. Опасный баг затрагивает сервисы Search, Gmail, YouTube, Wallet, Play, Apps и App Engine. Google Chrome и Chrome OS не затронуты, говорит компания. Организации, использующие Google Search Appliance, Cloud SQL или Google Compute Engine, также могут быть подвержены утечке секретных данных, и должны обновить свои базовые системы до последней версии OpenSSL.

Android-смартфоны

Google указывает, что самые новые устройства, использующие версию Android 4.4 Kit Kat, не пострадают от бага Heartbleed, но те, что используют Android 4.1.1 Jelly Bean, подвергаются опасности. Компания разослала инструкции по устранению уязвимости своим торговым партнерам, так что пользователям следует ждать обновления ПЗУ от своего оператора.

Блогеры на Tumblr

Пользователи системы управления контентом Tumblr также были затронуты багом Heartbleed. Компания предупредила всех, что нужно срочно изменить их регистрационные данные - изменить пароль «везде», где он есть, особенно в «сервисах, требующих высокой степени защиты, таких как электронная почта, хранение файлов и интернет-банкинг, которые могут быть взломаны через этот баг».

Facebook

Представитель Facebook сообщил агентству ABC News, что компания устранила эту уязвимость еще до того, как сообщество The Open SSL Project публично объявило о проблеме. Facebook тщательно отслеживает любые аномалии в поведении пользовательских аккаунтов, которые могут сигнализировать о проблеме, но в соцсети не обнаружено роста количества атак или взломов аккаунтов. Тем не менее, компания рекомендует пользователям иметь отдельный пароль для каждого сервиса и следовать известному правилу - периодически менять пароли.

Yahoo Mail

Yahoo объявила, что обновила свои сервисы, включая Tumblr. Компания не требует, чтобы пользователи сменили пароли, но эксперты говорят, что такая мера необходима - она поможет значительно снизить риск взлома аккаунта. Ранее уже возникали проблемы с защитой аккаунтов Yahoo Mail: в январе компания сообщила, что в ходе скоординированной атаки киберпреступникам удалось получить доступ к логинам и паролям пользователей из базы данных сторонней фирмы. Количество взломанных аккаунтов не названо.

Amazon Web Services

AWS опубликовала заплату для своих сервисов, сообщив, что баг Heartbleed затронул все ее балансировщики нагрузки, и призвала пользователей закрыть свои защищенные сервисы и сменить SSL-сертификаты. Пользователям EC2, использующим образы Linux, нужно самим установить исправление, сказала компания. Кроме того, им следует постоянно менять секретные ключи. Пользователи службы доставки контента CloudFront также были затронуты багом, и им следует постоянно менять свои SSL-сертификаты.

TurboTax (от Intuit)

Гражданам, заполнившим свои налоговые декларации через сервис TurboTax, настоятельно рекомендуется сменить пароли. В опубликованном пресс-релизе компания сообщила, что установила необходимые исправления на своих базовых серверах, которые были затронуты багом Heartbleed. «Налогоплательщики могут быть уверены, что вебсайты TurboTax защищены, и их личная и финансовая информация в безопасности. Сегодня они могут декларировать свой доход с уверенностью», - подчеркнул в заявлении «Нат» Раджеш Натараджан, директор по технологии и вице-президент по разработке и сопровождению продукта.

Dropbox

Dropbox не сделала никакого заявления, но сообщила пользователям через свой аккаунт на Twitter’е, что ввела необходимые исправления в своих пользовательских сервисах, чтобы устранить баг в OpenSSL. Обычная стандартная мера - смена пароля - поможет укрепить безопасность, дают совет эксперты.

LastPass

Серверы, на базе которых работает услуга управления паролями LastPass, также были затронуты багом в OpenSSL, но компания указала, что криптографический ключ, который открывает пользователям доступ к их базе данных с паролями, хранится локально, а это значит, что мастер-пароль на ее серверах не хранится. Секретные данные никогда не передаются через SSL незашифрованными, поскольку они уже зашифрованы локально, говорит компания. «Поскольку другие вебсайты могут не шифровать данные так, как это делает LastPass, мы рекомендуем пользователям LastPass создать новые пароли для своих самых важных сервисов (таких как электронная почта, интернет-банкинг и социальные сети)», - пишет компания в блоге, посвященном угрозе Heartbleed.

PayPal

Пользовательские аккаунты PayPal в безопасности, и их владельцам не нужно предпринимать никаких действий, говорит компания. Однако организациям, прежде всего онлайн-продавцам, использующим Payflow Gateway, нужно установить исправление на свои серверы, чтобы устранить уязвимость, указывает компания в заявлении на своем вебсайте. «Мы уже связались с торговыми компаниями, которые потенциально могли быть затронуты, и сотрудничаем с ними, чтобы обеспечить их интеграцию на должном уровне», - сообщает PayPal.

© 2014. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.

Источник: Роберт Уэстервельт, CRN/США