Acesso de alto desempenho para armazenamento de arquivos
Web site para pais Unido Twee Mumsnet é a segunda organização de alto perfil para reivindicá-lo foi vítima de vulnerabilidade Heartbleed OpenSSL infame.
Hackers se vangloriou que acessaram os dados dos usuários através da Mumsnet bug-vazamento de senha - que está presente em servidores HTTPS e outros serviços e software executando um OpenSSL 1.0.1 para 1.0.1f. Temos apenas realmente tem a palavra do que se parece com os atacantes, fazendo travessuras para isso.
O fundador do site Justine Roberts disse à BBC que ela só percebeu uma violação tinha ocorrido na sexta-feira depois que seu próprio nome de usuário e senha foram usados para enviar uma mensagem on-line.
Mumsnet admitiu que sofreu uma quebra, mas disse que não tinha como saber se era até Heartbleed ou outras vulnerabilidades relacionadas.
O resultado é, em qualquer caso, o mesmo: 1,5 milhões de senhas de usuários Mumsnet estão sendo redefinidas. "Na sequência da recente violação de segurança relacionada ao Heartbleed estamos zerando as senhas de todos os usuários", disse administradores do site em um comunicado oficial .
A aba de segurança segue quente nos saltos de notícias de que a agência fiscal do Canadá também havia sido cortado, resultando no derrame de 900 números de segurança social. Heartbleed é uma falha grave na biblioteca de criptografia OpenSSL que trivialmente expõe blocos de memória em em risco servidores , computadores, telefones, tablets e muito mais. Essa memória pode incluir senhas, cookies de sessão e cripto-chaves privadas.
Fred Kost, vice-presidente de soluções de segurança de ferramentas de segurança firme Ixia, comentou: "Desde que a notícia inicial de Heartbleed na semana passada, a grande questão que restava era em torno da vontade de explorar esta vulnerabilidade com as últimas notícias, a vulnerabilidade Heartbleed deixou de ser. teórica muito real, como os atacantes foram capazes de extrair uma chave privada a partir da memória, colocando mais de 1,5 milhões de usuários em risco.
"Como muitos têm especulado, esta é uma vulnerabilidade muito perigoso em uma implementação de SSL amplamente utilizada e quando um hacker rouba a chave privada da organização, este tipo de infiltração não é facilmente detectado."
"A fim de proteger-se de se tornar a próxima vítima, as empresas devem primeiro implantar o patch e, em seguida, começar a mudar a sua chave privada para ajudar a proteger contra man-in-meio ataques que possam usar a chave privada roubado. Embora isso possa ser um complexo processo e tomará as organizações de um tempo para ser concluído, não é tão simples como apenas de aplicar o patch, as organizações podem se mover na direção certa, tomando medidas agora ", acrescentou. ®
Nenhum comentário:
Postar um comentário