Платежный электронный сервис RBK Money опубликовал сообщение для своих клиентов об найденной ошибке в криптографическом пакете OpenSSL, затрагивающей огромное число сайтов, серверных систем и клиентских приложений, использующих OpenSSL 1.0.1 для организации обмена данными через защищенное соединение. Компания не сообщает о конкретной проблеме в своей системе, а основывается на информации опубликованной на профессиональных ресурсах и бюллетени по безопасности CVE-2014-0160.
«7 апреля стало известно об одной из самых серьезных уязвимостей в криптографическом пакете OpenSSL. Суть проблемы заключается в возможности доступа к памяти клиентского или серверного процесса с которым установлено шифрованное соединение. Это позволяет злоумышленникам получить удаленный доступ к конфиденциальной информации из оперативной памяти активного сетевого процесса за пределами буфера. Система шифрования OpenSSL, применяемая двумя из трех серверов в Интернете, была уязвима в течение последних двух лет», говорится в релизе сервиса RBK Money.
Более того, представители ЭПС посоветовали пользователям проверить часто посещаемые сайты чтобы узнать, является ли тот или иной сайт уязвимым, сменить пароли, поинтересоваться о сохранности своих данных и следить за всеми транзакциями своей банковской карты. Кроме того, владельцем сайтов в RBK Money посоветовали установить исправленную версию OpenSSL и предупредить своих пользователей о возможной утечке паролей.
Также и платежная система IntelleсtMoney сообщила: «7 апреля было объявлено об ошибке в программном пакете OpenSSL, который обеспечивает https-соединения между сервером и пользователем. Эта ошибка давала возможность читать небольшие куски оперативной памяти сервера. Таким образом, злоумышленники могли получать доступ к конфиденциальной информации – сертификаты, приватные ключи, логины, пароли и прочее. В итоге, была выпущена новая версия OpenSSL, в которой данная ошибка уже отсутствует. Платежная система IntelleсtMoney провела соответствующие работы по устранению данной уязвимости. Компания гарантирует своим пользователям и партнерам безопасность данных».
Итак, 7 апреля вышел бюллетень по безопасности CVE-2014-0160, из которого стало известно о длительном существовании критической уязвимости в криптографическом пакете OpenSSL. Обнаружилось, что алгоритмы реализации протоколов TLS и SSL в большинстве используемых сегодня версий OpenSSL некорректно обрабатывают пакеты расширения Heartbeat (из-за чего ошибка получила название HeartBleed). Считается, что пакет шифрования OpenSSL — самый распространенный в мире. Он используется в большинстве своем на вебсерверах Apache и nginx. На данных архитектурах работает около 2/3 всех сайтов в интернете. В том числе и Microsoft, Facebook, Twitter, Яндекс, Mail.Ru, Рамблер, ВКонтакте, Dropbox, Yahoo!, Steam, сайты множества банков и платёжных систем, сайты vpn провайдеров и множества всевозможных вебсервисов по всему миру.
Уязвимость существует уже 2 года и хотя сейчас дыра уже закрыта, но если злоумышленники уже похитили ключи шифрования, то они могут использовать их точно так же, как и при прежней версии, и для обеспечения безопасности администраторам нужно получить новые сертификаты безопасности и сгенерировать новые ключи. «Кроме того, подобный метод взлома невозможно отследить и администраторам остается только гадать — стали ли они жертвой или нет», отмечает профессиональный ресурс Ruposter.
Последующая реакция сервиса RBK Money: «Наши сотрудники сделали все необходимое и убрали уязвимость, как только информация о возможной угрозе была обнародована. Кроме того, мы предупредили своих банков-партнеров и убедились, что они также устранили проблему».