Heartbleed Bug problemem dla największych e-sklepów

heartbleed

Na początku kwietnia 2014 roku wyszło na jaw, że luka w OpenSSL, tzw. Heartbleed Bug, zakłóciła bezpieczeństwo użytkowników internetu. Niektórzy e-sprzedawcy, tacy jak Amazon czy Etsy, udostępnili informacje o znalezionych lukach w systemie zabezpieczeń i o tym, jakie działania podjęli, aby ze zlikwidować.

Jak pisze na blogu dyrektor ds. bezpieczeństwa w Dyn, Chris Brenton, użytkownicy powinni śledzić tego typu oświadczenia zanim podejmą próby zmieniania haseł. Jeśli sprzedawca był zagrożony, klienci powinni zostać poinformowani i mogli zmienić hasło tuż po tym, jak ich dane dotyczące logowania i prywatne kody zabezpieczeń dostały się w niepowołane ręce.

Dwóch dużych e-sprzedawców, Amazon i Etsy, wydało pisemne oświadczenia, w których przyznają, że odkryli luki w swoich systemach, jednak zdołali je załatać. Amazon ogłosił, że włamania miały miejsce w pięciu serwisach i że pracują wspólnie z ich użytkownikami, nad rozwiązaniem problemu.

Heartbleed Bug pozwalał na odczytanie z pamięci informacji chronionych przez OpenSSL. Luka, znaleziona przez firmy Google i Codenomicon, umożliwiała kradzież chronionych informacji, które w normalnej sytuacji powinny być chronione przez szyfrowanie TLS/DTLS. Jest to o tyle istotne, że protokół SSL i jego rozwinięcie służą zapewnieniu bezpieczeństwa i prywatności całej masie aplikacji i usług internetowych, takich jak np. e-mail, komunikatory, wirtualne sieci prywatne (VPN) czy niektóre serwery WWW. W tej sytuacji zagrożone były kody służące do identyfikacji dostawców usług, a także loginy i hasła użytkowników.

Przeczytaj cały artykuł w angielskim serwisie Evigo.com

Reklama

SCF 2017 Spring