Đêm qua, chúng tôi, giống như mọi trang web khác trên Internet, đã xuất bản một câu chuyện về lỗi bảo mật OpenSSL rất lớn và nguy hiểm có tên Heartbleed. Lỗi này khiến các phần lớn của Internet mở ra cho các tin tặc độc hại đánh cắp thông tin đăng nhập, thẻ tín dụng và khóa mã hóa. Về cơ bản, các trang web nghĩ rằng họ đang bảo vệ dữ liệu người dùng bằng cách mã hóa nó không làm như vậy, không có lỗi của riêng họ, trong hơn hai năm.
Khả năng gây hại là dữ liệu được mã hóa và khóa mật mã để mở khóa dữ liệu đó có thể có
đã bị đánh cắp từ các máy chủ. Thiết bị của bạn không bị ảnh hưởng trực tiếp. Phần mềm và dịch vụ bạn sử dụng có thể kết nối với các máy chủ có thể bị ảnh hưởng làm lộ dữ liệu của bạn. Lỗi Heartbleed không để lại dấu vết trong nhật ký nên không có cách nào để quay lại và cho biết trang web có bị ảnh hưởng hay không. Thông tin mới hôm nay nói rằng hơn 500.000 máy chủ đã bị ảnh hưởng.
Một bản vá đã được ban hành, nhưng người dùng Internet đang được yêu cầu thực hiện các biện pháp phòng ngừa và thay đổi mật khẩu hoặc được chuẩn bị. Đây là một không chính thức danh sách các trang bị ảnh hưởng và các trang không bị ảnh hưởng đăng trên GitHub. Ngoài ra còn có một trình kiểm tra trang web nơi bạn có thể nhập thông tin về trang web để kiểm tra xem nó có bị ảnh hưởng hay không.
Yahoo, OKCool, Ars Technica và Tumblr đã thông báo cho người dùng thực hiện các biện pháp phòng ngừa và thay đổi mật khẩu sau khi vá các trang web của họ. Mặc dù tôi đã không nhận được email cá nhân từ Yahoo.
Bạn có thể làm gì để tránh Heartbleed?
- Quét danh sách không chính thức cho các trang web bạn có thể truy cập. Nó chắc chắn là một danh sách đầy đủ.
- Tránh đăng nhập vào các trang web bị ảnh hưởng cho đến khi tất cả rõ ràng đã được đăng.
- Liên hệ với các doanh nghiệp (như ngân hàng) mà bạn sử dụng và hỏi xem họ có bị ảnh hưởng không và sẽ được thông báo khi mọi thứ rõ ràng trở lại.
- Chuẩn bị để thay đổi thông tin đăng nhập của bạn. Nhưng don Patrick thực hiện thay đổi cho đến khi một trang web đã được vá. Bạn nên ưu tiên cho các tài khoản email và tài khoản ngân hàng và tài chính.
- Nếu bạn đang chạy trình duyệt Chrome, hãy cài đặt Trình kiểm tra Chromebleed. Tiện ích mở rộng chạy trong nền và sẽ bật lên một cảnh báo nếu một trang web bị ảnh hưởng. GottaBeMobile.com không bị ảnh hưởng.
- Hãy chú ý đến các tài khoản tài chính trong vài tuần tới hoặc lâu hơn để theo dõi bất kỳ hoạt động bất thường nào.
Như luôn luôn thực hiện bất kỳ biện pháp phòng ngừa nào bạn cảm thấy cần thiết. Những loại câu chuyện này thường diễn ra trong một khoảng thời gian và chúng tôi sẽ đăng cập nhật khi chúng tôi có chúng. Có đọc tốt về Bug Heartbleed, OpenSSL và nhiều hơn nữa ở đây và đây.