A legnépszerűbb weboldalak is érintettek, ezért a több helyen használt jelszavakat mindenképpen javasolt megváltoztatni – mégpedig azonnal. Összeállításunkból nemcsak az derül ki, hogy melyek a legveszélyeztetettebb honlapok, de megadjuk egy ingyenes szolgáltató elérhetőségét is, ahol ellenőrizhető: bajba kerülhettünk-e?
Április hetedikén a net-történelem egyik legnagyobb biztonsági résének felfedezését jelentette be az OpenSSL.org. A CVE-2014-0160 elnevezésű hiba két éve létezik, rengeteg weboldalt és szolgáltatást, köztük bankokat is érint, ráadásul a javítás sem megy gyorsan. A hiba természete miatt azt sem tudja senki megmondani, hogy az elmúlt két évben bárki kihasználta-e, és ha igen, mihez fért hozzá. Abban viszont egészen biztosak lehetünk, hogy a bejelentés óta sokan megpróbálták kihasználni a hibát.
A Heartbleed bug néven emlegetett sérülékenység a népszerű OpenSSL titkosítási szoftverkönyvtárat érinti, melyet fejlesztők, rendszergazdák használnak fel munkájuk során. Egy számítás szerint a https címen elérhető biztonságos weboldalak a web 56 százalékát teszik ki, és ezeknek nagyjából a felét érinti a hiba. Ennek következtében a támadók hozzá tudnak férni olyan információkhoz, amiket egyébként SSL/TLS titkosítás védene. Az SSL/TLS a kommunikáció és az adatok biztonságát garantálja például a weben, a levelezésben, azonnali üzenetküldőknél és jó pár virtuális magánhálózaton (VPN).
A magyar bankok közül ma már elvileg egyik sem (egyértelműen) sebezhető, de ezeknél, és bármilyen másik, érzékeny adatokat kezelő szolgáltatásoknál mindenképpen érdemes jelszót változtatni. Az itthon is ismert nemzetközi oldalak közül érintettek, vagy nem egyértelműen nem érintettek (azaz nem ismerték el hivatalosan, de nagy valószínűséggel náluk is létezett a hiba) a következő weblapok: Dropbox Soundcloud, Tumblr, Yahoo, Facebook, Amazon Web Services.
A Gmail szintén érintett lehetett, de mivel egy Google-alkalmazott fedezte fel ezt a problémát, valószínűleg jóval előbb javítottak, mint bárki más, ezért valószínűleg a masszív támadási hullámból kimaradtak. Szintén időben értesítést kaphatott a Facebook és az Amazon is – írják online hírportálok
Az ellenőrzés
A LastPass Heartbleed Checker oldalán bárkinek lehetősége van arra, hogy ellenőrizze az általa használt oldalakat, szolgáltatásokat. Egyszerűen be kell írni az oldal URL-jét a keresőmezőbe, és a Checker már szállítja is az eredményt arról, érintheti-e a biztonsági hiba a site-ot, és tettek-e már ellene valamit, illetve hogy mikor érdemes jelszót változtatni.
