Soundcloud

Всю нынешнюю неделю пользователи интернета обсуждают обнаружение уязвимости Heartbleed в протоколе OpenSSL. Такое внимание обусловлено тем, что данный протокол нужен для обеспечения безопасного https-соединения между сервером и пользователем и используется чуть ли не на 2/3 всех сайтов в интернете. Несмотря на то, что разработчики протокола уже исправили ошибку, а некоторые владельцы сайтов установили нужное обновление, последствия Heartbleed могут ощущаться еще долго, ведь с 2012 года уязвимости были подвержены миллионы серверов во всем мире.



Для того, чтобы обезопасить пользователей от кражи паролей и других неприятностей, мало выпустить патч - нужно чтобы он был применен ко всем уязвимым серверам. Не всегда это происходит быстро, поскольку разные компании и владельцы сайтов по-разному относятся к безопасности. Часто встречаются ситуации, когда пользователи становятся жертвами хакерских атак, проведение которых стало возможным благодаря тому, что на сайте не была устранена уязвимость, обнаруженная еще много лет назад.

За то время, что уязвимость оставалась неизвестной, злоумышленники могли получить доступ к аккаунтам пользователей на тысячах разных сайтов. Если их владельцы установили нужное обновление безопасности, то пользователям таких сервисов нужно лишь сменить пароль, чтобы лишить хакера доступа к своим данным. В случае, если патч не установлен, смена пароля ни к чему не приведет, и его можно будет так же легко украсть.

Техноблог Mashable собрал список крупных сервисов, пользователям которых уже можно менять пароль, не опасаясь его повторной утечки.

Соцсети

Популярные социальные сети редко используют какие-то готовые модули и часто дорабатывают нужные программные решения под свои нужды. Поэтому, в целом, защищенность пользователей этих сервисов в случае данной атаки оказалась на довольно высоком уровне - например, представители LinkedIn сообщили о том, что не использовали уязвимую реализацию протокола, поэтому их пользователям волноваться не о чем.

Facebook

Где стоит точно сменить пароль, так это на Facebook - соцсеть внесла изменение в свою версию OpenSSL еще до того, как данные об уязвимости попали в широкий доступ, и никаких данных о произошедших утечках у компании нет.

Twitter

Представители Twitter пока не давали комментариев насчет того, повлияла ли уязвимость Heartbleed на безопасность пользователей сервиса, и, если да, то установлен ли на его сервера необходимый патч. По некоторой информации, Twitter был уязвим, но не напрямую, — атака была возможна на один из их поддоменов.

Сам сервис, однако, такую информацию опровергает.

http://t.co/OOBCosuKND & http://t.co/oPmJvpbS6v servers were not affected by OpenSSL vulnerability CVE-2014-0160 http://t.co/O5BDxIHmn1

— Twitter Security (@twittersecurity) April 8, 2014

Почтовые сервисы

Получив доступ к email-переписке, злоумышленники также могут украсть самую разную конфиденциальную информацию - от паролей на других сайтах до финансовых и корпоративных данных. Поэтому безопасность почтовых сервисов - это очень важно. В целом, здесь тоже нет особенных проблем, на некоторых сервисах не нужно менять даже пароли, на каких-то уже применены все патчи, и можно смело придумывать новые.

Gmail

Специалисты Google заявили о том, что "пропатчили" все основные сервисы компании (уязвимость коснулась поиска, Gmail, YouTube, Wallet, Play, Apps и App Engine), на такие продукты, как Google Chrome и  Chrome OS ошибка Heartbleed не повлияла. Компания уверяет пользователей, что необходимости в смене паролей нет, но лучше на всякий случай перестраховаться.

Yahoo

Компания призывает пользователей соблюдать осторожность при работе со своими аккаунтами, так как еще не все сервера полностью обновились.

Электронная коммерция и платежные сервисы

Заполучить платежные данные пользователей крупных онлайн-магазинов или платежных сервисов - это просто мечта для многих хакеров, поэтому неудивительно, что узнав об обнаружении Heartbleed, многие интернет-покупатели напряглись. В целом в данной области ситуация похожа на описанные выше - в крупных компаниях безопасности уделяется повышенное внимание, так что в целом все под контролем. А вот если вы часто покупаете в более мелких интернет-магазинах, то тут уже, как говорится, могут быть варианты.



Amazon и Amazon Web Services

Главный сайт компании Джеффа Безоса никак не пострадал - уязвимость не может повлиять на безопасность его пользователей. С Web Services ситуация похожая - сервисы либо вообще не подвержены данной ошибке безопасности, либо специалисты компании уже установили все необходимые обновления. Пароли пользователям лучше все равно сменить - так, на всякий случай.

eBay

В данном случае, компания отреагировала на инцидент не сказать чтобы очень открыто и четко.

Большая часть наших сервисов не подвергалась угрозе, и пользователи могут продолжать безопасно совершать покупки на нашей площадке.

Что за "большая часть сервисов" имеется в виду, непонятно, как неясно и то, установлены ли патчи на те серверы, что все таки оказались под ударом. Совершать ли покупки на eBay в такой ситуации, каждый решает сам.

PayPal

Платежный сервис выпустил подробное разъяснение, в котором четко и ясно говорится о том, что пользователям не о чем переживать.

Мы всегда убеждаем наших клиентов уделять больше внимания вопросам безопасности и защиты персональных и финансовых данных, но в данном конкретном случае можем со всей уверенностью заявить, что волновать нет причин. Когда вы входите в систему PayPal, исплользуя свои логин и пароль, эту информацию никак нельзя перехватить с помощью уязвимости OpenSSL.

Другие сервисы

Помимо перечисленных, есть и целый ряд других (в том числе облачных) сервисов, которые обрабатывают важную пользовательскую информацию. Взглянем на то, как дела обстоят у них.

Dropbox

В Twitter-аккаунте службы поддержки сервиса появилось сообщение о том, что все патчи установлены, так что пользователи могут спокойно менять пароли, чтобы уже окончательно почувствовать себя в безопасности.

Evernote

Mashable запросил комментарий, но компания пока ничего не ответила, так что неясно, можно ли сменить пароль и не беспокоиться о своих заметках, или же все-таки надо надеяться на то, что именно ваш аккаунт не заинтересует хакеров, пока сервера сервиса не будут обновлены.



Netflix

Еще одна компания, решившая на данный момент отделаться от журналистов общими словами.

Как и многие другие компании, мы немедленно предприняли все необходимые действия для устранения уязвимости. Нам неизвестно о каких-либо утечках данных наших пользователей.

В итоге, завершен ли процесс реагирования на уязвимость или пока нет, — не вполне ясно, так что пользователям лучше соблюдать осторожность при пользовании сервисом.

LastPass

Сервис, для которого безопасность должна быть превыше всего. По заверениям компании, несмотря на тот факт, что в LastPass используется OpenSSL, шифрование данных осуществляется на нескольких уровнях и ни у кого нет доступа к ключам для расшифровки. Поэтому переживать пользователям не стоит, но и профилактическая смена пароля не повредит.

SoundCloud

Технические специалисты SoundCloud активно занялись устранением проблемы, и теперь все должно быть отлично. Необходимо лишь сменить пароль.

Мы автоматически разлогиним всех пользователей системы SoundCloud, и когда вы будете входить заново, уже сработают внесенные нами изменения.

Wunderlist

Сервис Wunderlist четко и прямо рекомендует своим пользователям сменить пароль. Кроме того, не стоит удивляться, если вы вдруг вылетите из системы, и нужно будет входить заново.

Apple никак не комментирует ситуацию с Heartbleed, так что пользователям ее продуктов пока что нет особенного смысла менять пароли, но есть смысл переживать за сохранность своих данных. Microsoft не использовала OpenSSL (по данным LastPass), так что ее пользователи могут, наоборот, быть совершенно спокойны.

Как видно, в общем и целом, пока ситуация с безопасностью многих сервисов не вполне ясна - не все спешат отчитаться о своих успехах в деле устранения багов. Поэтому пользователи интернета, помимо соблюдения предельной осторожности, могут воспользоваться некоторыми способами для того, чтобы обезопасить себя самостоятельно.

Данный сервис, к примеру, выводит информацию о том, установлено ли обновление безопасности на нужном сайте - однако, здесь возможна погрешность. В рамках противодействия уязвимости Heartbleed сайты также должны будут сгенерировать новые SSL-сертификаты, чтобы если даже хакерам удалось украсть старые, они не смогли получить от этого факта никакой выгоды. Проверить дату выпуска сертификата можно с помощью специальных трекеров (например, вот этого).