Хакеры эксплуатируют Heartbleed

Злоумышленники получили доступ к номерам социального страхования (social insurance numbers) 900 жителей Канады из-за незакрытой уязвимости Heartbleed на сайте налогового ведомства страны (Canada Revenue Agency), сообщает портал Ottawa citizen. Представители агентства заявили, что работают круглосуточно, чтобы решить проблему.

Canada Revenue Agency уведомило об утечке данных государственные службы безопасности и самих пользователей. Агентство организовало для пострадавших мониторинг движения денежных средств на их счетах, чтобы предотвратить нелегитимные списания или использование украденных персональных данных в иных целях.

Уязвимость Heartbleed криптографического пакета OpenSSL позволяет удаленному пользователю получить доступ к зашифрованным данным, передаваемым по протоколу связи TLS/DTLS. Атакующий может раскрыть имена пользователей, их пароли, номера кредитных карт и прочую информацию, которая передается в зашифрованном виде. Информация об уязвимости Heartbleed появилась в понедельник, 8 апреля. Google Security отметила, что уязвимость существует уже около двух лет, но заметили ее только сейчас, пишет РБК. По данным финской Codenmonicon, OpenSSL применяется примерно на 66% сайтов, передает Би-би-си.

Heartbleed опасна не только для сайтов, но и для «интернета вещей», заявила Symantec. В Google считают, что «дыра» в OpenSSL может быть опасна для пользователей смартфонов.

Публикации об уязвимости в средствах массовой информации фактически породили волну хакерских атак, эксплуатирующих данную уязвимость. По словам эксперта CloudFlare Ника Салливана (Nick Sullivan), в течение одного дня web-ресурс получил порядка 2,5 миллионов запросов, с помощью которых атакующие пытались похитить ключи.