באג אבטחה: האינטרנט עלול לדמם סיסמאות

חוקרי אבטחת מידע של גוגל ושל חברה פינית בשם Codenomicon גילו בעיית אבטחה חמורה בתוכנה שקיימת במאות אלפי עד מיליוני אתרים בעולם, ומאפשרת גישה לפרטים אישיים של גולשים כמו שמות, סיסמאות ופרטים נוספים. חלק מהאתרים הגודלים כמו גוגל בעצמה, פייסבוק, אמזון יאהו ואחרות הודיעו אתמול (ג') כי כבר תיקנו את הבאג שקיבל את השם "Heartbleed" (לב מדמם), אולם לא ידוע במדוייק ההיקף שלו באתרים רבים אחרים, ולא ברור אם נחשף מידע ומה היקפו.

מדובר בבעיית אבטחה שמתברר שקיימת כבר שנתיים בתוכנת OpenSSL שמותקנת בארים שלהם יש שם וסיסמה, ומטרתה להצפין את המידע שאתם מכניסים לאתר בזמן שהוא עובר מהמחשב שלכם, דרך רשתות אלחוטיות ודרך האינטרנט עד לשרתי האתר שאליו רשומים. לפי הדיווחים בעולם, הבאג גורם לכך שהמידע יהיה זמין למי שרוצה להאזין לו בדרך, לדוג אותו מהזכרון של חלק מהאתרים או להתחזות לשרתים לגיטימיים בשביל לאסוף מידע. חוקרי אבטחה מעריכים כי יחלפו מספר ימים עד שכל האתרים יוכלו לתקן את הבאג אצלם. ה-CERT שפועל תחת הממשל האמריקאי הוציא הודעה שמיועדת למנהלי אתרים ובה קריאה לתיקון דחוף של הבאג.

בפייסבוק אומרים כי הוסיפו עוד אמצעי אבטחה על ה-OpenSSL בטרם הנושא נחשף. "כמו כן", נמסר מפייסבוק, "לא גילינו סימנים לפעילות חריגה או חשודה אצל המשתמשים שלנו. אנחנו עוקבים אחרי הנושא מקרוב".

מה עושים?

מה אנחנו יכולים לעשות? לא הרבה, ובעיקר לחכות למנהלי האתרים שיטפלו בבעיה. על פי דיווח בוושינגטון פוסט, ישנן עצות סותרות של מומחי אבטחה ומנהלי אתרים לגבי פעולה מצד המשתמשים. מצד אחד, שינוי סיסמה יזום שלנו יכול להגן על עלינו במקרה שהסיסמה נגנבה. מצד שני, יתכן ששינוי של הסיסמה דווקא יחשוף את הסיסמה הישנה והחדשה, באתרים שעדיין לא פתרו באופן מלא את הבעיות שהבאג יצר.  

כך או כך, הגרסה האחרונה של OpenSSL שיצא ביום שני כבר נקיה מהבאג הבעייתי, מה שאיפשר לבעלי האתרים להתקין ולעדכן ביום וחצי האחרונים. אולם, מומחי האבטחה אומרים כי נדרשות פעולות נוספות מצד בעלי האתרים, כמו יצירת הצפנות חדשות, על מנת לוודא כי המידע של כל הלקוחות והמשתמשים שלהן מוגן.