Heartbleed-уязвимость позволяет похитить секретные SSL ключи web-серверов

Информация о том, что Heartbleed-уязвимость в OpenSSL позволяет похитить конфиденциальную информацию пользователей, защищенную TLS-шифрованием, встревожила множество системных администраторов и специалистов в области безопасности. Однако наибольшую тревогу у экспертов вызвала возможность кражи секретных SSL ключей web-серверов.

Теперь же исследователи из CloudFlare предоставили официальное подтверждение этой информации. В качестве эксперимента они обратились к независимым специалистам с просьбой осуществить такую атаку на специально созданный компанией web-сайт с Heartbleed-уязвимостью.

Несмотря на то, что эксперты были уверены, что осуществление взлома маловероятно, первые успешные нападения были проведены уже спустя несколько часов. При этом портал работал на базе NGINX.

По словам эксперта CloudFlare Ника Салливана (Nick Sullivan), в течение первого дня web-ресурс получил порядка 2,5 миллионов запросов, с помощью которых атакующие пытались похитить ключи.

Ознакомиться с отчетом исследователей можно здесь .