Сервера "Яндекса" несколько часов были уязвимы для Heartbleed

Сервера "Яндекса" несколько часов были подвержены уязвимости Heartbleed, пишет CNews со ссылкой на официальный блог "Яндекса". Среди уязвимых серверов не было сервера Яндекс.Денег, подчеркивает компания, нет и никаких признаков того, что кто-то из злоумышленников успел воспользоваться уязвимостью. Мы начали устанавливать обновления безопасности на сервисах Яндекса сразу после сообщения о Heartbleed. Некоторые из наших сервисов - например, и это важно, «Яндекс.Деньги» – проблема вообще не затронула, остальные перестали быть подвержены уязвимости уже через несколько часов. Эти несколько часов были самыми опасными – о проблеме уже могли знать злоумышленники, а интернет-компании еще не успели ее устранить. Поэтому мы тщательно проверили статистику наших сервисов – никаких массовых обращений к нашим серверам, которые могли бы свидетельствовать об атаке, не было.

Несмотря на это, "Яндекс" рекомендовал сменить пароли на всех сервисах - и на своих, и на чужих.

Mail.ru Group оказался почти не задет:

Представители Mail.ru Group в своем блоге сообщили, что они также используют библиотеку OpenSSL в своих проектах, однако основная часть серверов, включая почтовые, оказались вне зоны риска. «На многих наших проектах мы используем OpenSSL 1.0.0, которая оказалась неуязвима к атаке», - сообщили в компании, добавив, что уязвимыми для атак оказались серверы баннерной системы и несколько контент-проектов: «Немного паники, и к 14:00 8 апреля уязвимость была запатчена».

На Хабре привели список сервисов (источник - Mashable), с комментариями - затронуты ли они уязвимостью, и стоит ли с этим что-то делать. Некоторые из них:

Сервис: Facebook

Затронут уязвимостью: неясно

Нужно сменить пароль?: Да. We added protections for Facebook’s implementation of OpenSSL before this issue was publicly disclosed. We haven’t detected any signs of suspicious account activity, but we encourage people to... set up a unique password.

Сервис: LinkedIn

Затронут уязвимостью: нет

Нужно сменить пароль?: нет. We didn't use the offending implementation of OpenSSL in www.linkedin.com or www.slideshare.net. As a result, HeartBleed does not present a risk to these web properties.

Сервис: Twitter

Затронут уязвимостью: неясно

Нужно сменить пароль?: неясно. On 4/7/2014 we were made aware of a critical vulnerability in OpenSSL (CVE-2014-0160), the security library that is widely used across the internet and at Twitter. We were able to determine that twitter.com and api.twitter.com servers were not affected by this vulnerability.

Сервис: Apple

Затронут уязвимостью: неясно

Нужно сменить пароль?: неясно.

Сервис: Amazon

Затронут уязвимостью: нет

Нужно сменить пароль?: нет. Amazon.com is not affected.

Сервис: Google

Затронут уязвимостью: да

Нужно сменить пароль?: Лучше изменить. We have assessed the SSL vulnerability and applied patches to key Google services.

Сервис: Microsoft

Затронут уязвимостью: нет

Нужно сменить пароль?: Нет. Microsoft services were not running OpenSSL, according to LastPass.

Сервис: PayPal

Затронут уязвимостью: нет

Нужно сменить пароль?: нет. Your PayPal account details were not exposed in the past and remain secure.

Детальнее см. www.paypal-community.com/t5/PayPal-Forward/OpenSSL-Heartbleed-Bug-PayPal-Account-Holders-are-Secure/ba-p/797568

Сервис: Dropbox

Затронут уязвимостью: да

Нужно сменить пароль?: да. We’ve patched all of our user-facing services & will continue to work to make sure your stuff is always safe.

Сервис: Evernote

Затронут уязвимостью: нет

Нужно сменить пароль?: нет. Evernote's service, Evernote apps, and Evernote websites… all use non-OpenSSL implementations of SSL/TLS to encrypt network communications.

Детальнее см. discussion.evernote.com/topic/56287-heartbleed/.

Источник: Roem.ru

Источник: smartZone

Перейти на сайт

Другие материалы на сайте b.Z - Записки о гаджетах, людях и музыке