Ak používate zabezpečené spojenie pri komunikácii s bankou, pri prihlasovaní sa k e-mailu či výmene informácií na sociálnych sieťach, je možné, že všetky informácie vrátane hesiel a prenášaných údajov už majú v rukách útočníci. Kvôli bezpečnostnej chybe v knižnici OpenSSL, ktorú firmy používajú pri šifrovaní webových stránok a spojenia, mohli útočníci až dva roky nepozorovane zbierať údaje od svojich obetí z radov bežných užívateľov.
Chybnú knižnicu používali dve tretiny webových serverov
Knižnica OpenSSL je najpopulárnejším systémom na šifrovanie spojenia u väčšiny verejne dostupných služieb a virtuálnych súkromných sietí. Podľa odhadov analytikov ju využívajú až dve tretiny všetkých webových serverov na svete. Trvalo pritom až dva roky kým bezpečnostné firmy chybu odhalili, čo vo výraznej miere zvyšuje riziko jej možného zneužitia v minulosti.
Chyba, ktorú odhalili špecialisti na bezpečnosť v spoločnostiach Codenomicon a Google dostala označenie The Heartbleed Bug (pozn. chyba krvácajúceho srdca). Podľa analytika Brucea Schneiera možno túto chybu označiť za katastrofu. „Katastrofa je to správne slovo. Na stupnici od 1 do 10 má chyba číslo 11,“ myslí si Schneier.
Podľa odborníkov ide o katastrofu mimoriadneho rozsahu
Kvôli chybe v knižnici OpenSSL mali útočníci možnosť nahliadnuť do 64 KB pamäte a získať z nej citlivé údaje inak prenášané cez zabezpečené šifrované SSL spojenie. Do doby vydania aktualizácie, ktorá chybu opravovala, tak navyše mohli čítať nie len dáta ale aj privátne kľúče, pomocou ktorých je možné dešifrovať všetky odosielané a prijímané dáta. V ohrození môžu byť prihlasovacie údaje užívateľov k službám, na ktorých sa nachádzajú citlivé informácie vrátane internetového bankovníctva.
Heslá užívateľov sú už možno v rukách útočníkov
Najhoršie na celej situácii je, že spoločnosti nevedia, či bezpečnostnú chybu útočníci odhalili skôr než oni sami. Ak aj áno, firmy nedokážu ani len odhadnúť, či sa ich zákazníci stali takisto terčom útokov. Niektorí analytici ako aj veľké spoločnosti na čele s Yahoo, ktorých sa chyba mohla dotknúť, preto užívateľov vyzývajú, aby si u dôležitých internetových služieb zmenili svoje heslá. „Ak sa užívatelia prihlasovali k internetovým službám počas zraniteľnosti knižnice, je možné, že ich heslá sú už v rukách útočníkov,“ potvrdil pre server BBC, Ari Takanen zo spoločnosti Codenomicon.