Найдена уязвимость с десятилетней историей
Опыт борьбы с Heartbleed позволил обнаружить ряд старых и опасных ошибок.
IT-специалисты продолжают находить критические ошибки в системах, которые давно считались надежными и безотказными. После масштабнейшей утечки персональных данных из-за «дыры» в Open SSL, в протоколах безопасности были обнаружены ранее неизвестные баги, в том числе и весьма серьезная уязвимость, позволяющая злоумышленникам получать доступ к зашифрованным данным и похищать их во время установки связи между сервером и клиентом.
Ошибка была обнаружена японским специалистом по компьютерной безопасности Масаши Кикучи. Хорошей новостью является тот факт, что ошибку уже исправили. Но есть и плохая новость — уязвимость существовала не менее десятка лет и, вероятно, была известна ряду хакеров, которые предпочли об этом не распространяться, к тому же использование этой уязвимости не оставляло никаких следов, за счет чего и не привлекало внимания администраторов серверов.
Напомним, что из-за ошибки Heartbleed, имевшей место в протоколе Open SSL 1.0.1 и остававшейся без внимание в течение трех лет, злоумышленники могли иметь доступ к персональным данным пользователей многих крупнейших сайтов, в том числе Yahoo!, Flickr, Amazon, а также множества интернет-магазинов, банков и платежных систем во всем мире.