Κενό ασφάλειας σε λογισμικό που
χρησιμοποιείται για την κρυπτογράφηση των επικοινωνιών στο Διαδίκτυο
αφήνει εκτεθειμένους τους κωδικούς πρόσβασης και άλλα ευαίσθητα δεδομένα
των χρηστών, και αρκετές εταιρείες συνιστούν την αλλαγή όλων των
password.
Έπειτα από αναφορές για την υποκλοπή «εκατοντάδων κωδικών πρόσβασης» από τη Yahoo, η υπηρεσία Tumblr της εταιρείας συνιστά στα μέλη της να «αλλάξουν κωδικούς πρόσβασης παντού
και ειδικά σε υπηρεσίες υψηλής ασφάλειας όπως το email, οι υπηρεσίες αποθήκευσης αρχείων και το e-banking».
Το πρόβλημα αποκαλύφθηκε τη Δευτέρα, όταν η Google και η φινλανδική εταιρεία ασφάλειας Codenomicon ανακοίνωσαν ότι υπάρχει κενό ασφάλειας στο OpenSSL, λογισμικό που χρησιμοποιείται σε πολλούς διαδικτυακούς τόπους για την κρυπτογράφηση των δεδομένων που μεταδίδονται μεταξύ του χρήστη και των διαδικτυακών υπηρεσιών που χρησιμοποιεί.
Το κενό ασφάλειας, το οποίο βαφτίστηκε Heartbleed, θα επέτρεπε σε χάκερ να διαβάζουν το περιεχόμενο της μνήμης των διακομιστών, στην οποία αποθηκεύονται ευαίσθητα δεδομένα, αλλά και να υποκλέπτουν τα κλειδιά της κρυπτογράφησης.
Θα μπορούσαν έτσι να κλέψουν κωδικούς πρόσβασης και άλλα δεδομένα των χρηστών, ή ακόμα και να στήσουν ψεύτικους δικτυακούς τόπους που παριστάνουν νόμιμες υπηρεσίες.
Η εταιρεία κυβερνοασφάλειας NCC Group, η οποία συμβουλεύει πολλές εταιρείες του χρηματιστηριακού δείκτη FTSE 250, χαρακτηρίζει την κατάσταση «σοβαρή».
«Θα ήταν σώφρον για τους χρήστες να αλλάξουν τους κωδικούς πρόσβασης» δήλωσε στο BBC ο Όλι Ουάιτχαους της NCC.
Σύμφωνα με το βρετανικό πρακτορείο, η Google προειδοποίησε ορισμένους μεγάλους διαδικτυακούς οργανισμούς πριν αποκαλύψει το πρόβλημα προκειμένου να τους δώσει χρόνο να αναβαθμίσουν τα συστήματά τους με τη νεότερη έκδοση του OpenSSL.
Η Yahoo όπως φαίνεται δεν είχε ενημερωθεί, διαβεβαιώνει όμως τώρα ότι σπεύδει να μπαλώσει το κενό ασφάλειας σε όλες τις υπηρεσίες της.
Έπειτα από αναφορές για την υποκλοπή «εκατοντάδων κωδικών πρόσβασης» από τη Yahoo, η υπηρεσία Tumblr της εταιρείας συνιστά στα μέλη της να «αλλάξουν κωδικούς πρόσβασης παντού
και ειδικά σε υπηρεσίες υψηλής ασφάλειας όπως το email, οι υπηρεσίες αποθήκευσης αρχείων και το e-banking».
Το πρόβλημα αποκαλύφθηκε τη Δευτέρα, όταν η Google και η φινλανδική εταιρεία ασφάλειας Codenomicon ανακοίνωσαν ότι υπάρχει κενό ασφάλειας στο OpenSSL, λογισμικό που χρησιμοποιείται σε πολλούς διαδικτυακούς τόπους για την κρυπτογράφηση των δεδομένων που μεταδίδονται μεταξύ του χρήστη και των διαδικτυακών υπηρεσιών που χρησιμοποιεί.
Το κενό ασφάλειας, το οποίο βαφτίστηκε Heartbleed, θα επέτρεπε σε χάκερ να διαβάζουν το περιεχόμενο της μνήμης των διακομιστών, στην οποία αποθηκεύονται ευαίσθητα δεδομένα, αλλά και να υποκλέπτουν τα κλειδιά της κρυπτογράφησης.
Θα μπορούσαν έτσι να κλέψουν κωδικούς πρόσβασης και άλλα δεδομένα των χρηστών, ή ακόμα και να στήσουν ψεύτικους δικτυακούς τόπους που παριστάνουν νόμιμες υπηρεσίες.
Η εταιρεία κυβερνοασφάλειας NCC Group, η οποία συμβουλεύει πολλές εταιρείες του χρηματιστηριακού δείκτη FTSE 250, χαρακτηρίζει την κατάσταση «σοβαρή».
«Θα ήταν σώφρον για τους χρήστες να αλλάξουν τους κωδικούς πρόσβασης» δήλωσε στο BBC ο Όλι Ουάιτχαους της NCC.
Σύμφωνα με το βρετανικό πρακτορείο, η Google προειδοποίησε ορισμένους μεγάλους διαδικτυακούς οργανισμούς πριν αποκαλύψει το πρόβλημα προκειμένου να τους δώσει χρόνο να αναβαθμίσουν τα συστήματά τους με τη νεότερη έκδοση του OpenSSL.
Η Yahoo όπως φαίνεται δεν είχε ενημερωθεί, διαβεβαιώνει όμως τώρα ότι σπεύδει να μπαλώσει το κενό ασφάλειας σε όλες τις υπηρεσίες της.
0 Σχόλια