Почта «Яндекса» могла быть уязвима

Почтовый сервис «Яндекса» некоторое время работал с уязвимостью в системе шифрования OpenSSL
М. Стулов
М. Стулов / Ведомости

Почтовый сервис «Яндекса» в течение двух лет работал с уязвимостью в системе шифрования OpenSSL, рассказал источник в крупной интернет-компании. То есть злоумышленники могли получить доступ к переписке всех пользователей сервиса. О наличии уязвимости в OpenSSL на днях сообщили компании Google Security и Codenomicon: уязвимость, получившая название «Кровоточащее сердце», поставила под угрозу примерно две трети всех сайтов в интернете. На этой неделе многие компании, включая Yahoo!, заявили о том, что им пришлось модифицировать свои сайты с целью защиты от этой угрозы. Кроме того, Yahoo! попросила своих пользователей сменить пароли.

Согласно сервису LastPass, уязвимость Heartbleed присутствует на всех массовых сайтах рунета, кроме Google, - на «Яндексе», на Mail.ru и «В контакте». Представитель Mail.ru Group Ксения Чабаненко утверждает, что этот сервис зачислил Mail.ru в список уязвимых ресурсов по ошибке: «Просто потому, что мы используем OpenSSL. Мы уже связываемся с ними».

Софья Иванова, PR-директор объединенной компании "Афиша-Рамблер-SUP" (владеет сервисом "Рамблер-почта"), сказала: "Наши специалисты осуществляют постоянный мониторинг всех систем, задействованных в работе сервиса "Рамблер-почта", поэтому необходимые меры по дополнительной защите к личным доступам пользователей были приняты незамедлительно. На данный момент нами не зафиксировано ни одного обращения в службу поддержки со стороны владельцев почты на «Рамблере".

Представитель «В контакте» Георгий Лобушкин говорит, что основной домен VK.com эта уязвимость не затронула. А после получения информации о проблеме, на серверах со старым сертификатом, сразу же заменили софт - пользовательские данные не пострадали, говорит он.

Представитель «Яндекса» Ася Мелкумова утверждает, что злоумышленники не могли прочесть переписку пользователей. "Как было заявлено в сообщении проекта OpenSSL, уязвимость, которой были подвержены две трети серверов в интернете, была в следующем: гипотетические злоумышленники при перехвате данных на сторонних ресурсах могли перехватить произвольные 64 кб данных - по сути это, например, кусочек текста или отрывок технической информации, но совершенно точно не полный текст переписки и не информация о логине или пароле", - рассказала она. «Не было возможности доступа к переписке в течение последних двух лет, так как мы ввели SSL в ноябре 2013 г., но еще раз подчеркиваем: мы уже провели тщательную проверку наших логов за весь период действия уязвимости», - добавила Мелкумова.

По словам Мелкумовой, компания начала устанавливать необходимые обновления безопасности практически сразу после появления сообщения и завершила все работы всего через несколько часов. «В этот самый опасный период - когда о проблеме узнало множество недоброжелателей - наша служба безопасности не зафиксировала массовых обращений к серверам “Яндекса”, которые бы свидетельствовали об атаке», - добавляет она. «Многие наши сервисы, например “Яндекс.Деньги”, и вовсе не были подвержены угрозе: на их серверах не использовалась уязвимая версия SSL», - говорит Мелкумова. «Благодаря этому скандалу у множества людей в мире появился дополнительный повод сменить пароли», - резюмирует она.

OpenSSL - распространяемый бесплатно набор программ для шифрований с открытым исходным кодом, основанный на стандартах шифрования SSL и TLS (на сайтах, защищенных таким образом, в строке адреса в браузере изображается значок висячего замка). Развитием этих продуктов занимаются четыре программиста, и лишь для одного из них это основная работа. Поддержкой проекта занимается независимый фонд OpenSSL Software Foundation. По словам Стива Маркесса, президента фонда, бюджет проекта в 2013 г. был менее $1 млн. «Несомненно, проект нуждается в более эффективных кадровых ресурсах, - говорит Маркесс. - Не повредил бы и официальный аудит программного кода».

Уязвимость «Кровоточащее сердце» была характерна для некоторых версий пакета - она распространялась в сети в течение последних двух лет после появления версии OpenSSL 1.0.1.

Почтовый сервис Mail.ru работает на другой версии OpenSSL, говорит представитель компании Ксения Чабаненко. Представитель Google сказал «Ведомостям», что компания очень быстро исправила ошибку и пользователям Google не придется менять пароли. Представитель «Афиша-Рамблер-SUP» (управляет почтовым сервисом «Рамблера») пообещал прокомментировать ситуацию позднее.

О возможных проблемах в системе безопасности интернет-банка R-Connect сегодня предупредил Райффайзенбанк. «Несколько дней назад была обнаружена серьезная уязвимость в криптографическом пакете OpenSSL, позволявшая третьим лицам получить в свое распоряжение логины и пароли клиентов от различных закрытых систем. К числу таких систем относится и интернет-банк R-Connect, - говорится в сообщении, опубликованном на сайте банка. - Нашим сотрудникам удалось оперативно ликвидировать данную уязвимость, внедрив новую версию пакета OpenSSL. Мы рекомендуем всем пользователям изменить пароли на доступ в интернет-банк R-Connect. Это позволит избежать рисков, связанных с инцидентом».

В подготовке статьи участвовал Роман Дорохов