Сервера «Яндекса» несколько часов были уязвимы для Heartbleed

Сервера «Яндекса» несколько часов были подвержены уязвимости Heartbleed, пишет CNews со ссылкой на официальный блог «Яндекса». Среди уязвимых серверов не было сервера Яндекс.Денег, подчеркивает компания, нет и никаких признаков того, что кто-то из злоумышленников успел воспользоваться уязвимостью.

Мы начали устанавливать обновления безопасности на сервисах Яндекса сразу после сообщения о Heartbleed. Некоторые из наших сервисов — например, и это важно, «Яндекс.Деньги» — проблема вообще не затронула, остальные перестали быть подвержены уязвимости уже через несколько часов. Эти несколько часов были самыми опасными — о проблеме уже могли знать злоумышленники, а интернет-компании еще не успели ее устранить. Поэтому мы тщательно проверили статистику наших сервисов — никаких массовых обращений к нашим серверам, которые могли бы свидетельствовать об атаке, не было.

Несмотря на это, «Яндекс» рекомендовал сменить пароли на всех сервисах — и на своих, и на чужих.
Mail.ru Group оказался почти не задет:
Представители Mail.ru Group в своем блоге сообщили, что они также используют библиотеку OpenSSL в своих проектах, однако основная часть серверов, включая почтовые, оказались вне зоны риска. «На многих наших проектах мы используем OpenSSL 1.0.0, которая оказалась неуязвима к атаке», — сообщили в компании, добавив, что уязвимыми для атак оказались серверы баннерной системы и несколько контент-проектов: «Немного паники, и к 14:00 8 апреля уязвимость была запатчена».

На Хабре привели список сервисов (источник — Mashable), с комментариями — затронуты ли они уязвимостью, и стоит ли с этим что-то делать. Некоторые из них:
Сервис: Facebook
Затронут уязвимостью: неясно
Нужно сменить пароль?: Да. We added protections for Facebook’s implementation of OpenSSL before this issue was publicly disclosed. We haven’t detected any signs of suspicious account activity, but we encourage people to… set up a unique password.


Сервис: LinkedIn
Затронут уязвимостью: нет
Нужно сменить пароль?: нет. We didn’t use the offending implementation of OpenSSL in www.linkedin.com or www.slideshare.net. As a result, HeartBleed does not present a risk to these web properties.


Сервис: Twitter
Затронут уязвимостью: неясно
Нужно сменить пароль?: неясно. On 4/7/2014 we were made aware of a critical vulnerability in OpenSSL (CVE-2014−0160), the security library that is widely used across the internet and at Twitter. We were able to determine that twitter.com and api.twitter.com servers were not affected by this vulnerability.


Сервис: Apple
Затронут уязвимостью: неясно
Нужно сменить пароль?: неясно.


Сервис: Amazon
Затронут уязвимостью: нет
Нужно сменить пароль?: нет. Amazon.com is not affected.


Сервис: Google
Затронут уязвимостью: да
Нужно сменить пароль?: Лучше изменить. We have assessed the SSL vulnerability and applied patches to key Google services.


Сервис: Microsoft
Затронут уязвимостью: нет
Нужно сменить пароль?: Нет. Microsoft services were not running OpenSSL, according to LastPass.


Сервис: PayPal
Затронут уязвимостью: нет
Нужно сменить пароль?: нет. Your PayPal account details were not exposed in the past and remain secure.
Детальнее см. www.paypal-community.com/t5/PayPal-Forward/OpenSSL-Heartbleed-Bug-PayPal-Account-Holders-are-Secure/ba-p/797568


Сервис: Dropbox
Затронут уязвимостью: да
Нужно сменить пароль?: да. We’ve patched all of our user-facing services & will continue to work to make sure your stuff is always safe.


Сервис: Evernote
Затронут уязвимостью: нет
Нужно сменить пароль?: нет. Evernote’s service, Evernote apps, and Evernote websites… all use non-OpenSSL implementations of SSL/TLS to encrypt network communications.
Детальнее см. discussion.evernote.com/topic/56287-heartbleed/.

Добавить 2 комментария

  • Ответить

    Все пишут «Несколько часов», хотя на самом деле это не так. «Яндекс перестал быть уязвим через несколько часов после публикации уязвимости» — уже точнее. Сколько он был уязвим до публикации, знают только внутри Яндекса. Может быть, год, а может и два.