Pull to refresh

Comments 33

Сайт ReactOS, затронут уязвимостью, нужно сменить пароль. Сертификат сервера сменен на новый. Но нет никаких свидетельств подозрительной активности.
UFO landed and left these words here
Вроде как, если угнали сессию, то все печально. Но не уверен.
Некоторые сервисы привязывают сессию к IP, а некоторые нет. Решайте сами, DenimTornado, менять вам пароль, или нет, ваши GET и POST-запросы могли быть переданы в незашифрованном виде злоумышленникам.
UFO landed and left these words here
Обычно после смены пароля, правильный сервис предлагает сбосить сессию (т.е. перелогиниться), иначе, если злоумышленник получил ее идентификатор, он все еще получает доступ к вашиему личному кабинету на сайте.

В общем, рекомендуется перелогиниться самостоятельно.
UFO landed and left these words here
Давно хотел придумать себе новый паттерн для паролей и тут такой повод
UFO landed and left these words here
name.com была уязвимость. Отписал в саппорт — ответили в стиле «мы уже были в курсе», но закрыли ;)
account.nokia.com, если кому интересно, не была подвержена этой проблеме, пароли от Нокиа акаунтов не были в зоне риска, как и сам сертифкат ;) Так, JFI, раз уж в этом топике собирательная инфа…

Load Impact пишет:
Скрытый текст
Hello there,

As you may have heard, a serious bug in the OpenSSL library was disclosed to the public on April 7th, 2014 (CVE-2014-0160). This library handles SSL encryption for the majority of sites on the Internet — including Load Impact.

In response to this critical vulnerability, we have conducted a comprehensive security review and would like to let you know that Load Impact has only been vulnerable to this bug for the past six months and is no longer vulnerable.

We have only been vulnerable to this bug since when we started using Amazon's SSL service (through Amazon's ELBs) back in October 2013, so our exposure is limited. However, since there is still a risk that someone may have stolen information from us in the past six months, we have now replaced our SSL certificates.

Since you have logged on to your Load Impact account in the last six months, we advice you to take the following extra precautions:

Change your password
Generate new API keys
Due to the widespread nature of this vulnerability, we recommend changing your passwords across the web.

For more information on the Heartbleed bug, please read our blog. Feel free to reply to this email if you have any questions.

Take care, keep safe and happy testing.

/The Load Impact Team

Mapbox пишет:
Скрытый текст
We have secured our infrastructure from Heartbleed, a serious OpenSSL vulnerability that caused security on most of the internet to virtually evaporate overnight (good post by the New York Times).

There is no indication that any data on Mapbox was compromised as a result of Heartbleed, but as a precaution, we strongly suggest that you to reset your password:

Reset Your Mapbox Password

Here is a summary of how our engineering team addressed the vulnerability:

We logged you out of Mapbox.com--you will be required to login again on your next visit.
All services were reviewed and updated immediately.
We rotated our SSL certificates and all other security credentials.
We reviewed all third-party services and worked with their teams to ensure that proper steps were taken to patch their vulnerable services and rotate their credentials.
If you have any questions regarding Heartbleed or anything else, send us a note at support@mapbox.com.

Koding пишет:
Скрытый текст
Hi all,

Just letting you know that Koding is unaffected by the security vulnerability known as Heartbleed.

On April 7 a serious security vulnerability (CVE-2014-0160) was disclosed in the OpenSSL library. Like much of the internet, we responded to this critical issue by conducting a security review of our servers.

We've never used the OpenSSL library. Koding built its own proxies using Go and Go has its own implementation of TLS. Therefore, you don't need to change your password (unless you used the same password on other sites that've been affected by Heartbleed).

We did a thorough investigation anyway and we've concluded that none of servers were affected by this bug, nor was any user information compromised. Our engineering team will continue to monitor the situation.

At Koding we take security and transparency seriously, which is why we're emailing you today to let you know your information is safe. No additional step is required on your behalf. If you have any questions feel free to reply to this.

Regards,

Koding Team
koding.com

Mandrill пишет:
Скрытый текст
System Alert: OpenSSL Heartbleed Security Vulnerability

On Monday, the OpenSSL project released an update to address a serious security vulnerability nicknamed «Heartbleed». This vulnerability impacts the encryption used for internet communications and could allow access to decrypted HTTPS traffic. Like many service providers, once Mandrill became aware of Heartbleed, we moved to address, and evaluate the impact of, this vulnerability. We know that our users share our concern for security and privacy, so we want you to be aware of the specifics of Heartbleed vulnerability as it relates to Mandrill.


Impacted services
First and foremost, we have no evidence that the Heartbleed vulnerability was used to obtain any Mandrill data or to access Mandrill services.

Mandrill's relay and application servers were using affected versions of OpenSSL. Patches have been applied to all impacted servers, a process which was completed and confirmed by 14:00 UTC on April 8th. Although Mandrill utilizes Amazon EC2, we don't use the disk images provided by Amazon that were found to be affected. Nevertheless as a precaution, we've replaced our private key and SSL certificate since it's plausible that Mandrill's certificates could have been exposed.

What you should do
While there's no indication that Mandrill user data has been impacted, we strongly recommend that users update their Mandrill account passwords. Since API Keys are used for accessing your account via the API and SMTP, we also recommend deactivating old keys and replacing them with new keys.

Many of our users have sites or applications hosted which store their Mandrill credentials or other sensitive data. So, we also recommend auditing all services you may use to determine if they are also vulnerable, taking steps to repair any vulnerable services, and replacing SSL certificates once the vulnerability has been removed.

Так же написали из REG.ru с советом:
Скрытый текст
Вас приветствует регистратор доменных имен REG.RU!

Вы являетесь владельцем VPS сервера. Обращаем Ваше внимание, что для используемой Вами операционной системы, была найдена критическая уязвимость безопасности в OpenSSL 1.0.1 и 1.0.2-beta. Более подробно о ней Вы можете прочитать здесь heartbleed.com/
Уязвимость касается openssl и программы, в работе которых нужна данная библиотека. Сервер openssh проблема не затронула.

Для устранения данной уязвимости Вам нужно обновить пакет openssl. Сделать это можно, выполнив команды, приведенные ниже
Для ОС CentOS:
yum clean all
yum update openssl
service httpd restart

Для ОС Debian:
apt-get update
apt-get install openssl
/etc/init.d/apache2 restart

— С уважением,
Служба технической поддержки REG.RU
IFTTT тоже пишет:
Скрытый текст
Hello kuuuzya,

A major vulnerability in the technology that powers encryption across much of the internet was discovered this week. Like many other teams, we took immediate action to patch the vulnerability in our infrastructure.

IFTTT is no longer vulnerable.

Though we have no evidence of malicious behavior, we've taken the extra precaution of logging you out of IFTTT on the web and mobile. We encourage you to change your password not only on IFTTT, but everywhere, as many of the services you love were affected.
Прокомментируйте, пожалуйста, кто в теме о смене паролей на популярных почтовых серверах? gmail, yandex, mail…
Google информация есть в посте.
mail.ru ответили сами постом недавно — пароль менять не надо.
По Яндексу бы информацию получить…
Представитель «Яндекса» Ася Мелкумова утверждает, что злоумышленники не могли прочесть переписку пользователей. «Как было заявлено в сообщении проекта OpenSSL, уязвимость, которой были подвержены две трети серверов в интернете, была в следующем: гипотетические злоумышленники при перехвате данных на сторонних ресурсах могли перехватить произвольные 64 кб данных — по сути это, например, кусочек текста из трех слов или отрывок технической информации, но совершенно точно не полный текст переписки и не информация о логине или пароле», — рассказывает она. «Не было возможности доступа к переписке в течение последних двух лет, так как мы ввели SSL в ноябре 2013 г., но еще раз подчеркиваем: мы уже провели тщательную проверку наших логов за весь период действия уязвимости», — добавила Мелкумова.

По словам Мелкумовой, компания начала устанавливать необходимые обновления безопасности практически сразу после появления сообщения и завершила все работы всего через несколько часов. «В этот самый опасный период — когда о проблеме узнало множество недоброжелателей — наша служба безопасности не зафиксировала массовых обращений к серверам “Яндекса”, которые бы свидетельствовали об атаке», — добавляет она. «Многие наши сервисы, например “Яндекс.Деньги”, и вовсе не были подвержены угрозе: на их серверах не использовалась уязвимая версия SSL», — говорит Мелкумова. «Благодаря этому скандалу у множества людей в мире появился дополнительный повод сменить пароли», — резюмирует она.

Источник

В общем, непонятно=)
64 кб данных — по сути это, например, кусочек текста из трех слов

очевидно Яндекс хранит переписку упакованными блоками по 3 слова на 64 кБ )
В соседнем топике скриншот. image by ValdikSS

Так что Ася, передергивает и хитрит… 64кб это дофига:

злоумышленники не могли прочесть переписку пользователей. «Как было заявлено в сообщении проекта OpenSSL, уязвимость, которой были подвержены две трети серверов в интернете, была в следующем: гипотетические злоумышленники при перехвате данных на сторонних ресурсах могли перехватить произвольные 64 кб данных — по сути это, например, кусочек текста из трех слов или отрывок технической информации, но совершенно точно не полный текст переписки и не информация о логине или пароле»
А про известные репозитории знает кто-нибудь? Git, Bitbucket
Mikrotik и RouterOS не затронуты:

LL prior RouterOS releases (6.11 and older) are not affected by this vulnerability as older OpenSSL library where used.

In addition RouterOS 6.12 will have new OpenSSL library that has this vulnerability resolved.
UFO landed and left these words here
Очень легко отличить в мусоре много чего интересного, вы видемо не игрались с эксплойтом.
А почему только 8-9 апреля? Почему не все два года?
Upd: не прочитал про ваши два года
Ещё очень интересно как обстоят дела с прошивками железок, ибо миллионы потенциально уязвимых роутеров это куда страшнее.

За топик большая благодарность, пожалуйста сделайте топик обновляемым и собирайте инфу дальше.

p.s: вот тут mashable.com/2014/04/09/heartbleed-bug-websites-affected/ написано, что для Minecraft и ещё нескольких сервисов так же необходимо сменить пароли.
на сколько я понимаю в большинстве случаев будет взломан диспатчер, для более-менее крупных ресурсов это отдельный сервер и бизнес приложения на нём не запускаются. хотя в памяти могут быть остатки переданных сообщений.
для крякеров некоторые умельцы специально приготовили заглушку pbs.twimg.com/media/BkwVMIoCAAA814Y.png :)
UFO landed and left these words here
Only those users with full accounts are able to leave comments. Log in, please.