«Яндекс» рекомендует сменить пароли

6srthsrther3j7fyjkПользователям социальных сетей, онлайн-сервисов и систем онлайн-банкинга необходимо позаботиться о безопасности и сменить пароли в связи с обнаруженной опасной уязвимостью в протоколе шифрования данных OpenSSL, об этом сообщает «Яндекс».

В компании объясняют, что уязвимость Heartbleed представляет угрозу в первую очередь потому, что её используют 2/3 интернет-ресурсов, в том числе и сам «Яндекс», Facebook, Google и др. «Суть уязвимости – в том, что злоумышленники могли получить до 64 килобайт случайных данных из памяти процесса веб-сервера в незашифрованном виде. При наличии времени и терпения они могли повторять запросы, пока среди полученной информации не окажутся, например, логины и пароли пользователей», – говорится в обращении «Яндекса» к пользователям.

В официальном блоге «Яндекса» сказано: «Мы начали устанавливать обновления безопасности на сервисах Яндекса сразу после сообщения об уязвимости Heartbleed. Некоторые из наших сервисов – например, «Яндекс.Деньги» – проблема не затронула, остальные перестали быть подвержены уязвимости уже через несколько часов. Эти несколько часов были самыми опасными – о проблеме уже могли знать злоумышленники, а интернет-компании еще не успели ее устранить. Поэтому мы тщательно проверили статистику наших сервисов – никаких массовых обращений к нашим серверам, которые могли бы свидетельствовать об атаке, не было».

Однако, несмотря на предпринятые меры, в «Яндексе» рекомендуют пользователям обязательно сменить пароли на всех без исключения используемых сервисах: «Это касается не только паролей от Яндекса, а вообще от всех сервисов, которыми вы пользуетесь. Heartbleed еще раз показала, что ни один сервис в интернете не может быть абсолютно безопасным. Но защитить себя не так сложно – достаточно чаще менять пароли».

Для удобства пользователей, компания запустила специальный ресурс, в котором есть ссылки на страницы смены паролей наиболее популярных сайтов.

Представители компании Mail.ru Group сообщили, что используют OpenSSL в некоторых проектах, но основная часть серверов оказались вне зоны риска, поскольку там используется версия OpenSSL 1.0.0, неуязвимая к атаке.