Internetom sa posledné dni šíri správa o veľkej bezpečnostnej diere v SSL (Secure Sockets Layer), ktorý používajú veľké medzinárodné korporácie, banky, ale aj ďalšie veľké online služby. SSL je bezpečnostný protokol, ktorý sa na internete používa na šifrovanie prenášaných dát a na autentizáciu servera pomocou digitálnych certifikátov. To, že sa nachádzate na stránke zabezpečenej týmto protokolom zistíte jednoducho tak, že v poli pre URL adresu sa nachádza označenie https – napríklad https://mail.google.com. Bezprostrednou súčasťou protokolu je aj open-source knižnica OpenSSL, ktorá ale podľa zistení už roky obsahuje závažnú bezpečnostnú chybu. Upozornila na ňu bezpečnostná spoločnosť Codenomicon a bezpečnostný inžinier Googlu Neel Mehta.
Chyba sa nachádza v OpenSSL knižnici v sekcii “heartbeat”, podľa ktorej dostala aj svoj názov – HeartBleed. Táto umožňovala prípadným útočníkom čítať dáta z pamäte systémov, ktoré používali zraniteľnú verziu OpenSSL softvéru. V nich mohlo dôjsť k úniku tajných kľúčov slúžiacich na identifikáciu poskytovateľa služby a šifrovanie dátovej prevádzky, ako aj mien a hesiel používateľov, či aktuálneho obsahu. Bezpečnostná chyba je označovaná za jednu z najhorších, ktoré sa v modernom svete prepojenom internetom objavila. Zasiahnutých môže byť viac ako 66% internetových stránok.
Chybu v OpenSSL už v najnovšej verzii opravili a väčšina známych webov ju už aj nasadila. Heslá a iné súkromné údaje však mohli byť kompromitované už v minulosti a tak bezpečnostní experti odporúčajú minimálne zmenu hesla. Hoci je malá pravdepodobnosť, že došlo k úniku, vylúčiť ho nikto nedokáže. Pre istotu by ste si ich teda mali zmeniť. Kde? Portál Mashable spravil rozsiahlu tabuľku stránok, ktoré boli alebo neboli chybou ovplyvnené, ako aj to, či už chybu odstránili. Medzi ovplyvnené stránky a služby patria napríklad Facebook, Instagram, Pinterest, Tumblr, Google, Yahoo, Gmail, Box, Dropbox a iné. Naopak, bezpečnostné riziko spojené s únikom citlivých informácií sa netýka napríklad online služieb a portálov, ako Ebay, Evernote, Linkedin, Amazon, či Paypal. Kompletný zoznam nájdete na tomto odkaze.
Zdroj: mashable, heartbleed
