הבאג "לב מדמם": יותר מחצי מיליארד אתרים פרוצים להאקרים

הפרצה מאפשרת להאקרים גישה פשוטה יחסית למידע ששמור על רוב השרתים בעולם, שבהם מאוחסן גם מידע חסוי, כגון רשימות מספרי כרטיסי אשראי ופרטי התחברות לשירותים מסוימים בהם רשתות חברתיות ודואר אלקטרוני

עולם אבטחת המידע ברשת עבר טלטלה בימים האחרונים לאחר שנתגלתה פרצת אבטחה חמורה בשם "לב מדמם" - Heartbleed, שעשויה להעמיד מיליוני מחשבים בסכנה. הפרצה החדשה התגלתה בפרוטוקול האבטחה של OpenSSL, שכשני שליש מכל השרתים בעולם מריצים אותו על מנת להצפין כל העברת מידע ממאגר המידע ואליו.

הפרצה מאפשרת להאקרים גישה פשוטה יחסית למידע ששמור על רוב השרתים בעולם, שבהם מאוחסן גם מידע חסוי, כגון רשימות מספרי כרטיסי אשראי ופרטי התחברות לשירותים מסוימים בהם רשתות חברתיות ודואר אלקטרוני. לדברי מומחים, הבאג הוא אחד מכשלי אבטחת המידע החמורים ביותר שנתגלו בשנים האחרונות.

גילוי הכשל על ידי חוקרים מחברת גוגל וחברת אבטחת מידע קטנה בשם Codenomicon, גרם למחלקה לביטחון הפנים של ארה"ב לייעץ לחברות לבדוק את השרתים שלהן כדי לבחון האם הן משתמשות בגרסאות פגיעות של תוכנה המוכרת בשם OpenSSL. לדברי המחלקה, קיימים כבר עדכונים המטפלים בבעיה ב-OpenSSL, העלולה לאפשר לפורצים מרחוק נגישות לנתונים רגישים, לרבות סיסמאות ומפתחות סודיים שיכולים לפענח תעבורת נתונים בשעה שהיא עוברת ברשת.

"בדקנו חלק מהשירותים שלנו מנקודת המבט של פורצים. התקפנו את עצמנו מבחוץ, מבלי להשאיר סימן", נמסר מחברת Codenomicon באתר שהקימה על מנת לספק מידע על האיום, בכתובת heartbleed.com.

מומחי אבטחת מידע הזהירו שקורבנות אינם יכולים לדעת אם ניגשו לנתונים שלהם, עובדה מטריד במיוחד כיוון שהבאג קיים זה שנתיים. "אם האתר פגיע, אני יכול לראות דברים כמו הסיסמה שלך, מידע על חשבון בנק ונתונים רפואיים, שאתה חשבת שאתה שולח באופן בטוח", אמר מייקל קוטס, מנהל אבטחת מוצר בחברת Shape Security.

כריס אנג, סגן נשיא למחקר בחברת אבטחת המידע Veracode, אמר כי הוא מעריך שמאות אלפי שרתי ווב ודוא"ל ברחבי העולם זקוקים לטלאי אבטחה בהקדם.

למשתמש הפרטי אין הרבה מה לעשות בנוגע לבאג מכיוון שזה השפיע על יותר מחצי מיליארד אתרי אינטרנט שונים. ההמלצה היא להתנהג כאילו כל השירותים בהם אתם משתמשים נפרצו, ולכן מומלץ להחליף סיסמאות בכל שירות מקוון שבו משתמשים.