Вчера ведущие биткоин-биржи Bitstamp и Bitfinex приостановили ввод/вывод денежных средств клиентов со своих счетов, а также регистрацию новых пользователей и даже вход существующих в свои личные кабинеты. Всему виной обнаруженная уязвимость в криптографическом пакете с открытым исходным кодом OpenSSL, которые многие сайты используют для целей шифрования, под названием Heartbleed.
Баг предоставляет возможность чтения оперативной памяти уязвимого компьютера. Таким образом, злоумышленники могут получить к ней доступ, а также подключиться к, предположим, уязвимому интернет-банку, получить приватный SSL-ключ из оперативной памяти и выполнить MITM-атаку на вас, а ваш браузер будет вести себя так, будто бы ничего и не произошло, ведь сертификат-то верный. Или просто может получить ваш логин и пароль.
Уязвимость была обнаружена специалистами из Codenomicon, которые проинформировали, что опасаться нужно не только биткоин-пользователям, но и вообще всем сайтам, серверам и сервисам, которые используют сертификаты OpenSSL. Тем не менее, патч от уязвимости уже есть. В связи с этим необходимо обновиться до последней версии библиотеки и сделать это как можно быстрее.
Биткоин-биржа Bitstamp в связи с багом OpenSSL опубликовала на свое сайте следующее сообщение:
«Уважаемые клиенты, после того, как обнаружилась уязвимость в сертификате OpenSSL мы примени необходимые патчи в нашей системе. Одновременно с этим наш провайдер защиты от DDOS-атак проводит необходимые работы у себя. В целях исключения риска кражи персональных данных обе системы должны быть пропатчены. До тех пор в целях безопасности мы временно приостанавливаем регистрацию новых пользователей, вход в личный кабинет, а также все операции по выводу денег со счетов. По мере поступления новой информации будем вас информировать. С уважением, команда Bitstamp».
Примерно аналогичного содержания сообщение было размещено и на бирже Bitfinex. Между тем, от других крупных биткоин-бирж (BTC-e, Bitcurex, BTC China, Cryptsy) никаких сообщений на этот счет не поступало. Будем надеяться, что они также проводят необходимое обновление своих систем.
