Используя данную уязвимость, хакеры могут получать несанкционированный доступ не только к зашифрованному трафику в Интернете, но и собственно к ключам шифрования, что дает возможность без особого труда ознакомиться с закодированной информацией (подчас носящей сугубо конфиденциальный характер). Таким образом, злоумышленник вполне может украсть приватные данные с какого-либо сайта, причем, пострадавшие об этом даже не узнают, поскольку следов взлома в привычном понимании тут не остается.
Самое неприятное заключается в том, что упомянутая выше уязвимость присутствует во всем Интернете уже два года со времен выхода криптографической библиотеки OpenSSL 1.0.1. Другими словами, киберпреступники, осведомленные об этой «дыре», получали доступ к огромному объему конфиденциальной информации, перемещавшейся в виде трафика по Всемирной Паутине. Не случайно эта новость вызвала обеспокоенность у многих, несмотря на то, что уже доступно обновленное ПО с защитой от Heartbleed Bug.
Счет идет именно на часы, тогда как многие сисадмины еще даже не узнали о проблеме. В госучреждениях и банках, учитывая традиционную российскую бюрократию, обновление OpenSSL может занять несколько дней, и в этом случае последствия могут быть самыми печальными.
Уязвимость обнаружили специалисты по информационной безопасности из компании Codenomicon, а также, независимо от них, Нил Мехта (Neel Mehta) из подразделения Google Security. Именно последний примерно неделю назад сообщил разработчикам The OpenSSL Project, что нужно срочно исправить код. Ребята из компании Codenomicon подготовили подробное описание бага и даже открыли для него отдельный сайт Heartbleed.com с изображением кровоточащего сердца. Информацию о баге удалось сохранить в секрете до 7 апреля, когда вышла исправленная версия OpenSSL 1.0.1g.
По материалам Ferra.ru и Хakep.ru.