Ошибка Heartbleed: более двух лет хакеры могли похищать данные пользователей интернета

Одной из самых обсуждаемых новостей 9 апреля стало сообщение компании Codenomicon (Финляндия-США) об обнаружении уязвимости в самом распространенном криптографическом пакете OpenSSL. Потенциально использование данной "дыры" могло привести к хищению личных данных практически всех пользователей интернета, поскольку ошибка позволяла перехватывать шифровальные ключи.

Сообщение об обнаруженном "баге" было опубликовано на специально созданном сайте The Heartbleed Bug.

Название ошибки Heartbleed является симбиозом двух английских слов "heart" и "bleed". Возможный перевод: "Кровоточащее сердце". Но "bleed" означает также больную душу и вымогательство. Кроме того, данное название напоминает название пакета, в котором была обнаружена критическая ошибка: "heartbeat" (ритм сердца). Данный пакет используется для обнаружения сбоев и управления ресурсами серверного кластера.

Специалисты в области компьютерной безопасности обращают внимание на тот факт, что ошибку не замечали в течение более, чем двух лет. Эту уязвимость могли использовать злоумышленники, причем хищение информации (паролей, данных кредитных карт и т.д.) оставалось бы бесследным.

Таким образом мог быть нанесен огромный урон электронной коммерции и компаниям, бизнес которых связан с интернетом.

Сам факт публикации сообщения об обнаруженной ошибке тоже может нанести ущерб интересам таких компаний.

В Codenomicon подчеркивают, что пока нет никаких данных о том, что ошибка была использована какими-либо злоумышленниками.

7 апреля была выпущена новая версия OpenSSL, в которой ошибка Heartbleed исправлена. Только после этого компания Codenomicon объявила об обнаруженной проблеме.

Большинство крупных компаний должны были успеть обновить используемые версии OpenSSL до публикации сообщения об обнаружении ошибки в криптографическом пакете.