Обращение Викимедиа по поводу уязвимости безопасности из-за ошибки “heartbleed”

Логотип ошибки Logo for the “Heartbleed”

7го апреля была раскрыта широко распространенная ошибка в центральном компоненте интернет-безопасности (OpenSSL). Уязвимость уже исправлена ​​на всех проектах Викимедиа. Если вы только читаете википедию и не имеете аккаунта, от вас ничего не требуется. Если же ві имеете аккаунт на любом проекте Викимедиа, вы должны перелогиниться в следующий раз, когда будете использовать свой ​​аккаунт.

Ошибка, которая называется “Heartbleed”, позволяет хакерам получить доступ к привилегированной информации любого сайта, который использует уязвимую версию этого программного обеспечения. Проекты Викимедиа потенциально могли быть поражены этой ошибкой несколько часов после того, как она была найдена. Однако, у нас нет никаких доказательств вреда нашим системам или информации пользователей. И поэтому, конфигурация наших серверов сделала использование этой ошибки хакерами для кражи паролей очень сложным.

После того, как мы узнали об ошибке, мы начали обновлять все системы исправленной версией программного обеспечения. Потом мы начали заменять критические SSL-сертификаты, контактирующие с пользователями, и завершили все сессии пользователей. Смотрите полную хронологию наших действий ниже.

Все залогиненые пользователи присылают секретный сессионный токен на каждое обращение к сайту. Если нечестный человек перехватит этот токен, он сможет представляться другими пользователями. Сброс этих токенов для всех пользователей хорош тем, что заставляет всех пользователей переподключаться к нашим серверам используя обновленную и исправленную версию программного обеспечения OpenSSL, что исключает потенциальные атаки.

Мы рекомендуем изменение пароля как стандартную профилактическую меру, но мы, к настоящему времени, не собираемся заставлять это делать всех пользователей. Повторяем, не было никаких доказательств, что пользователи Викимедиа были атакованы, но мы хотим, чтобы все пользователи были настолько защищены, насколько это возможно.

Спасибо за ваше понимание и терпение.

Грег Гроссмейер, от имени команд операций и платформ Викимедии.

Хронология действий Викимедиа

(Время указано в UTC)

7ое апреля:

8ое апреля:

9ое апреля:

10ое апреля:

Часто Задаваемые Вопросы

(Этот раздел будут увеличиваться по мере необходимости.)

  • Почему “не действительны до” даты на вашем сертификате SSL не изменились, если вы уже заменили его?
    Наш поставщик SSL-сертификатов хранит настоящую “не действительны до” дату (которую иногда путают с “выдается на” датой) на всех замененных сертификатах. Это не нераспространённая практика. Кроме изучения изменений в .pem-файлах, ссылки на которые есть сверху в хронологии, другой способ убедиться, что замена действительно была – это сравнить отпечатки пальцев на новом и старом сертификатах.