Одразу кілька технологічних корпорацій закликають користувачів змінити всі свої паролі після викриття "дірки" в системі комп’ютерної безпеки.
Одразу кілька технологічних корпорацій закликають користувачів змінити всі свої паролі після викриття "дірки" в системі комп’ютерної безпеки.
Блог-платформа Yahoo Tumblr порадила громадськості "змінити свої паролі всюди – особливо на сервісах, які потребують найвищого рівня безпеки штибу електронної пошти, файлосховищах та банкових сервісах".
Подібні поради почали давати після того, як продукт, який повинен був зпахищати дані, насправді виявився піддатливим для зовнішнього зламу.
Йдеться про OpenSSL – популярну криптографічну бібліотеку, яку використовують для шифрування важливих даних під час їхньої передачі між комп’ютерами.
Якщо певна організація використовує OpenSSL, користувачі бачать іконку у вигляді замка у адресній стрічці свого браузера.
Втім, експерти наголошують, що наразі немає жодних доказів того, що кіберзлочинці встигли зібрати базу паролів користувачів, які стали жертвою недосконалості OpenSSL.
"11 за десятибальною шкалою"
У понеділок Google Security та фінська безпекова компанія Codenomicon заявили, що "дірка" була OpenSSL протягом понад двох років.
Якщо протягом цього часу зловмисники здобули імена та паролі користувачів сервісів, що використовують OpenSSL, вони могли скопіювати їхні дані або ж створити фальшиві сайти, які виглядали б ідентичними справжнім, оскільки використовували б реальні облікові дані.
Наразі невідомо, чи "дірку" використовували до того, як стало відомо про її існування, адже у такому разі злам не залишив би жодних слідів – хіба що хакери вирішили б розмістити здобуні ними дані у мережі.
"Якщо люди користувалися сервісом під час "вікна вразливості", то існує можливість того, що їхній пароль уже здобутий зловмисниками", - каже директор компанії Codenomicon Арі Таканен.
"У цьому сенсі змінити паролі на всіх веб-порталах, які ви використовуєте, - це хороша ідея", – продовжує він.
Інші експерти з питань безпеки були приголомшені цим викриттям.
"Катастрофа – це хороше слово. Я б оцінив це в 11 за десятибальною шкалою", – написав експерт Брюс Шнайєр у своєму блозі.
"Провести вдалу атаку за допомогою власного скрипту...і здобути інформацію могли навіть люди з середнім рівнем технічних навичок. Оскільки зараз провайдери сервісів оновили своє програмне забезпечення, оновити свої паролі було б розумним кроком для їхніх користувачів", – заявив заступник директора безпекової компанії NCC Group.
Деякі безпекові фірми та незалежні розробники програм опублікували онлайн-тести, які допомагають визначити, чи конкретний сервіс все ще піддатливий для зламу.
Втім, надійного способу взнати, чи були вони вразливими раніше, немає.
Жодного поспіху
Дослідник з комп’ютерної лабораторії Кембриджського університету каже, що негайно кидати всі свої справи і міняти паролі, не варто.
"Думаю, ризик того, що зловмисники здобули будь-який пароль, коливається між низьким та середнім", – каже доктор Стівен Мердок.
Він нагадує, що раніше у подіюних випадках хакери оприлюднювали в інтернеті списки паролів. Зараз цього не сталося, а отже, каже він, проблема є не настільки гострою.
"Але змінити пароль дуже легко. Тому це – непогана ідея, проте не те, що люди повинні робити поспіхом – хіба що це порекомендує їм сервіс, який вони використовують", - додає пан Мердок.