זה לפי צוות של חוקרי Codenomicon, כמו גם חוקר אבטחת Google Neel Mehta. Codenomicon היא חברת אבטחת אינטרנט שלקוחותיה כוללים את מיקרוסופט, Verizon, ו-Cisco Systems. לפי הדיווח, באג Heartbleed משפיע באותה מידה כמו 66 אחוז מהאתרים הפעילים בעולם, וקיים בערך שנתיים.
סרטונים מומלצים
OpenSSL היא שיטת הצפנה המופעלת על ידי אתרים רבים ששומרת על הנתונים שאתה מקליד בדפדפן האינטרנט שלך. OpenSSL מכיל פונקציה ידוע כאפשרות פעימות לב. עם זה, בזמן שאדם מבקר באתר אינטרנט שמצפין נתונים באמצעות OpenSSL, שלו מַחשֵׁב שולח ומקבל מעת לעת הודעות כדי לבדוק אם גם המחשב האישי שלו וגם השרת בצד השני עדיין מחוברים. באג Heartbleed פירושו שהאקרים יכולים לשלוח הודעות דופק מזויפות, שיכולות להערים על שרת של אתר להעביר נתונים המאוחסן ב-RAM שלו - כולל מידע רגיש כגון שמות משתמש, סיסמאות, מספרי כרטיסי אשראי, מיילים ו יותר.
"בהתחשב בחשיפה הארוכה, קלות הניצול וההתקפות שלא משאירות עקבות, יש להתייחס לחשיפה זו ברצינות", מזהיר Codenomicon.
חוקרי האבטחה שחשפו את החור אומרים שהאקרים שמנצלים את באג Heartbleed יכולים לגנוב את כל זה ועוד, אפילו הודעות מיידיות ומסמכים עסקיים. החוקרים בדקו את הפגם בעצמם, וגילו שהם מסוגלים לגנוב מידע כזה בלעדיו השארת כל זכר להתקפה שלהם, וגם ללא התועלת של כל "מידע חסוי", כולל כניסה אישורים.
מה אתה יכול לעשות כדי להגן על עצמך מפני באג Heartbleed?
מלבד הימנעות מאתרים מושפעים, הכוללים לפי הדיווחים Yahoo ו-OkCupid, ושינוי הסיסמאות שלך, אין הרבה שאתה יכול לעשות כדי להגן על הנתונים שלך. זה תלוי בחברות בודדות לעדכן את האתרים והשירותים שלהן כדי להשתמש בגרסה הקבועה של OpenSSL, שתוקמת את החור שהותיר Heartbleed - מונעת את הדימום, כביכול. החוקרים שהסירו את הבאג מהסוג הזה אומרים כי באחריותם של ספקי מערכות ההפעלה, יצרני התוכנה וספקי חומרת הרשת להשתמש בגרסה החדשה, אשר הם קוראים FixedSSL.
בשלב זה, גם אמזון וגם יאהו פועלות להחיל את התיקון בכל השירותים שלהן, כשהאחרונים מצביעים על כך שהם עשו זאת ברוב נכסי האינטרנט בעלי הפרופיל הגבוה, כולל Yahoo Homepage, Yahoo Search, Yahoo Mail, Yahoo Sports ועוד. בינתיים, אמזון מצהירה שהיא החלה את התיקון גם על רוב השירותים שלה. אתה יכול לקרוא הצהרת אמזון בעניין כאן.
בשלב זה, לא ברור כמה נזק נגרם על ידי Heartbleed. בינתיים, הנה רשימה של אתרים שעל פי הדיווחים הושפעו. כמו כן, המשרד לביטחון פנים של ארה"ב פרסם פוסט בבלוג, מציע טיפים אלה כיצד להבטיח את עצמך מפני Heartbleed.
- "אתרים רבים בשימוש נפוץ נוקטים בצעדים כדי להבטיח שהם לא יושפעו מהפגיעות הזו ומודיעים לציבור. ברגע שאתה יודע שהאתר מאובטח, שנה את הסיסמאות שלך."
- "עקוב מקרוב אחר חשבונות הדוא"ל שלך, חשבונות הבנק, חשבונות המדיה החברתית ונכסים מקוונים אחרים עבור פעילות לא סדירה או חשודה, כגון רכישות חריגות או הודעות"
- "לאחר שהאתר שאתה מבקר בו טיפל בפגיעות, ודא שאם זה מצריך אישי מידע כגון אישורי התחברות או פרטי כרטיס אשראי, הוא מאובטח עם מזהה ה-HTTPS ב- שורת הכתובת. חפש את ה-s, כי זה אומר מאובטח.
הקפד לקרוא את המדריך שלנו ל אילו אתרים מושפעים מבאג Heartbleed ו כיצד להגן על האנדרואיד שלך מפני Heartbleed. יש לנו גם רשימה חזקה של אפליקציות אנדרואיד, iOS ו-Windows מושפעות מ-Heartbleed ושירותי משחקי וידאו מושפעים מ-Heartbleed.
מה אתה חושב? נשמע כבוי בתגובות למטה.
המלצות עורכים
- איך הבוס שלך יכול לרגל אחריך עם Slack, Zoom ו-Teams
- חלק ממעבדי Ryzen נשרפים. הנה מה שאתה יכול לעשות כדי לשמור את שלך
- מיקרוסופט מביאה את ChatGPT לדפדפן שלך, ואתה יכול לבדוק את זה כבר עכשיו
- כך תוכל להגן על ה-RTX 4090 שלך מפני התכה
- כיצד להשתמש במצב שולחן העבודה ב-Steam Deck כך שתוכל להשתמש בו כמו מחשב
שדרג את אורח החיים שלךמגמות דיגיטליות עוזרות לקוראים לעקוב אחר עולם הטכנולוגיה המהיר עם כל החדשות האחרונות, ביקורות מהנות על מוצרים, מאמרי מערכת מעוררי תובנות והצצות מיוחדות במינן.
