«Яндекс» призвал пользователей поменять пароли из-за уязвимости Heartbleed. Компания утверждает, что утечки данных на ее сервисах не произошло, но все же рекомендует принять меры безопасности на всякий случай.

«Это касается не только паролей от Яндекса, а вообще от всех сервисов, которыми вы пользуетесь. Heartbleed еще раз показала, что ни один сервис в интернете не может быть абсолютно безопасным. Но защитить себя не так сложно — достаточно почаще менять пароли», — говорится в сообщении в блоге «Яндекса».

Компания создала специальную страницу, через которую можно напрямую перейти к смене паролей всех популярных в Рунете сервисов. Также «Яндекс» предлагает своим пользователям настроить напоминание о необходимости смены пароля раз в полгода.

«Яндекс» утверждает, что обновления его сервисов были установлены сразу после сообщения об уязвимости в пакете шифрования данных OpenSSL. Компания подчеркивает, что некоторые сервисы, например «Яндекс. Деньги», проблема не затронула вообще, а остальные были защищены через несколько часов.

«Эти несколько часов были самыми опасными — о проблеме уже могли знать злоумышленники, а интернет-компании еще не успели ее устранить. Поэтому мы тщательно проверили статистику наших сервисов — никаких массовых обращений к нашим серверам, которые могли бы свидетельствовать об атаке, не было», — говорится в сообщении «Яндекса».

Компания Mail.ru, крупнейший конкурент «Яндекса» в Рунете, заявила 10 апреля, что она не призывает пользователей менять пароли. Mail.ru сообщила в своем блоге на Habrahabr, что основная часть серверов компании, включая почтовые, оказалась вне зоны риска.

«Пользователи ключевых сервисов Mail. Ru Group не пострадали. В наших пользовательских продуктах („Почта“ и другие) мы использовали версию OpenSSL, в которой этой уязвимости не было. Единственными потенциально уязвимыми сервисами Mail.ru Group стали баннерная система и несколько контент-проектов, однако уже к 14:00 8 апреля угроза была устранена», — сообщила theRunet вице-президент Mail.ru Group Анна Артамонова.

По ее словам, потенциально уязвимые сервисы тоже не давали злоумышленникам возможность получить доступ к личным данным, логинам и паролям.

«Все, что теоретически могли сделать злоумышленники, — это получить авторизационные сессии (cookie) пользователей на этих проектах и скомпрометировать наши SSL-сертификаты. Все потенциально скомпрометированные сертификаты уже перевыпущены и заменены», — заявила вице-президент Mail.ru.

Зарубежные эксперты обнаружили еще одно опасное последствие Heartbleed. Производители сетевого оборудования Cisco Systems и Juniper Networks заявили, что уязвимость была найдена в их роутерах. Эксперты подтверждают, что это действительно возможно, если они использовали старую версию SSL, сообщает Endgadget.

Проблема в том, что проверка и обновление сетевого оборудования — это трудоемкий процесс, который занимает больше времени, чем проверка сайта или сервиса. Cisco и Juniper Networks опубликовали списки устройств, которые подвержены уязвимости. Сейчас компании готовят обновления для них.

В ночь на 8 апреля было объявлено об ошибке в программном пакете OpenSSL. Как выяснилось, баг, существовавший как минимум с 2012 года, позволяет третьим лицам получить доступ к оперативной памяти компьютера и данным пользователей, включая пароли, переписку и ключи шифрования. При этом следов проникновения в систему не остается — использовать уязвимость можно совершенно незаметно для жертвы.