Pull to refresh
VK
Building the Internet

Почему после обнаружения Heartbleed мы не предлагаем пользователям Почты Mail.Ru менять пароли

Reading time2 min
Views58K
Короткий ответ на вопрос, озвученный в заголовке: потому, что этого не требуется. Heartbleed, одна из самых критичных уязвимостей в истории OpenSSL, не ударила по нашим пользователям. Чуть более подробный ответ – под катом.



Мы, как и многие другие сервисы, используем библиотеку OpenSSL в наших проектах, однако бОльшая часть наших серверов, включая почтовые, оказались вне зоны риска. На многих наших проектах мы используем OpenSSL 1.0.0, которая оказалась неуязвима к атаке.

Тем не менее, мы не спешили расслабляться – сначала нужно было проверить остальные проекты. На коленке был написан NSE-скрипт к Nmap, эксплуатирующий уязвимость, и уже через полчаса мы получили список машин с уязвимыми версиями OpenSSL.

Уязвимыми для атак оказались серверы нашей баннерной системы и несколько контент-проектов. Немного паники, и к 14:00 8 апреля уязвимость была запатчена.

Хотя на этих проектах Heartbleed не давала возможности получить доступ к личным данным, логинам или паролям пользователей, злоумышленники всё же могли получить авторизационные сессии (cookie) случайных людей, а так же потенциально скомпрометировать наши SSL-сертификаты.

Разбираться с SSL-сертификатами мы начали немедленно. Все критичные сертификаты уже перевыпущены и будут заменены, работа по замене остальных продолжается.

Что же касается авторизационных сессий пользователей, то и тут мы были защищены. На наших критически важных проектах работает так называемое разделение сессий. Суть его в следующем: если даже злоумышленник так или иначе завладеет авторизационной сессией пользователя, то с её помощью он не сможет получить доступ к другим проектам портала.

Может быть, прогноз Codenomicon сбудется, и Heartbleed действительно станет для многих сервисов поводом усилить систему безопасности. Для нас вся эта история сыграла роль учебной тревоги – мы потренировались быстро реагировать на сообщение об угрозе и оперативно закрывать все лазейки. Ну и, пожалуй, говорить злоумышленникам «no pasarán!».
Tags:
Hubs:
Total votes 157: ↑105 and ↓52+53
Comments74

Articles

Information

Website
vk.com
Registered
Founded
Employees
5,001–10,000 employees
Location
Россия
Representative
Миша Берггрен