במהלך השבוע האחרון התחוללה מהומה רבה סביב באג ה-Heartbleed, פרצת האבטחה שהתגלתה ב-OpenSSL, ספרית התוכנה החופשית בה משתמשים אינספור אתרים ברשת האינטרנט. על מנת לעשות קצת סדר בבלאגן, כעת תכלו לבדוק איזה אתרים נפגעו ומה עליכם לעשות בנידון.
במידה והצלחתם להתחמק מהחדשות במהלך השבוע האחרון, פרצת האבטחה Heartbleed מאפשרת חשיפה של מידע רגיש מהשרת, באמצעות שימוש בפרוטוקול הסנכרון הנקרא Heartbeat (ומכאן שמה של הפרצה המדוברת). הפרצה מסוגלת לגרום לשרת להחזיר תגובה המכילה מידע מזכרון היישום.
כלומר, התגובה אמנם מכילה לרוב מידע אקראי ולא מסודר, אך היא עלולה להכיל אינפורמציה קריטית כגון המפתחות הפרטיים של השרת, Cookies ועוד. באמצעותם, יכולים התוקפים להשיג את כתובות המייל של המשתמשים, מפתחות ההצפנה שלהם ובכך לגנוב את זהותם.
ההמלצה הראשונה היא לדאוג שאינכם משתמשים באותה הסיסמה למספר שירותים | צילום: Shutterstock
מכיוון שמדובר בפרוטוקול אבטחה כה פופולארי, גם אתרים גדולים וידועים נפגעו מהפרצה המדוברת וייתכן שבמהלך השנתיים האחרונות חשפו מידע אישי ורגיש אודות המשתמשים. אך רגע לפני שאתם רצים להחליף את כל הסיסמאות בכל השירותים שלכם, חשוב להבין כי הפרצה עדיין לא נסגרה לחלוטין וישנם אתרים שעדיין פגיעים, כך שהחלפת הסיסמה פשוט תחשוף את הסיסמה החדשה ולא תעזור לכם יותר מידי – עד שהאתרים יתקנו את הפרצה.
תוכלו לבדוק האם אתרים ספציפיים (שאכן משתמשים בפרוטוקול OpenSSL) נפגעו באמצעות אתר אינטרנט ייעודי שהוקם לשם כך, בכתובת הבאה. גם כאן לא מדובר בפתרון קסמים, שכן במידה והפרצה נמצאה עדיין צריך לטפל בה, אך לפחות כעת תוכלו לדעת האם להכניס את פרטיכם לאתרים החדשים בהם אתם נתקלים, או להמתין בסבלנות לתיקון הפרצה.
גם אתרים גדולים נפלו קורבן
על מנת לעשות עוד קצת סדר בבלאגן, אתר Mashable פרסם רשימה מקיפה של אתרים ושירותים שנפגעו מהפריצה המדוברת, לצד תגובות דוברי האתר ומה ממליצים למשתמשים לעשות. כמובן שההמלצה הראשונה היא לדאוג שאינכם משתמשים באותה הסיסמה למספר שירותים – ובמידה ואתר או שירות מדווח כי תיקן את הפרצה, מומלץ להחליף את הסיסמה כמה שיותר מהר, על מנת שלא תהיה גישה למידע הרגיש שלכם.
בין האתרים שנפגעו בוודאות ודורשים מהמשתמשים להחליף סיסמה ניתן למצוא את אינסטגרם, טאמבלר, גוגל על כלל שירותיו (ג'ימייל, יוטיוב, גוגל פליי, Google Wallet, מנוע החיפוש וכדומה), Etsy, GoDaddy, שירותי האחסון Box ו-Dropbox, אתר GitHub, IFTTT, אתר ההיכרויות OkCupid ואפילו שירות המוזיקה SoundCloud ושירות Wunderist. בצורה מעט משעשעת, גם שירות שמירת הסיסמאות LastPass הושפע מהפרצה הנוכחית, אך החברה מבהירה כי משתמשת בכמה שכבות אבטחה על מנת להגן על המשתמשים, כך שלא הייתה גישה לקבצים המדוברים והם אינם צריכים להחליף את סיסמתם לשירות. בשורה התחתונה, נכון לעכשיו מה שעליכם לעשות הוא להמשיך ולהתעדכן אודות העדכונים והתיקונים באתרים השונים אליהם אתם גולשים מידי יום ולדאוג להחליף את סיסמתכם לסיסמה חדשה לחלוטין, בה מעולם לא השתמשתם – על מנת לא לחשוף מידע נוסף ורגיש גם באתרים אחרים אליהם אתם גולשים.
|
|