Компания «Яндекс» сообщила, что как и многие другие интернет-компании, была уязвима для ошибки в библиотеке OpenSSL.
Как только стало известно о Heartbleed, в «Яндексе» начали устанавливать обновления безопасности на сервисах. При этом в сообщении уточняется, что некоторые сервисы, в том числе «Яндекс.Деньги», ошибка не затронула. Остальные перестали быть уязвимы через несколько часов.
При проверки статистики сервисов «Яндекс» никаких массовых обращений к ним, которые могли бы свидетельствовать об атаке, не обнаружил. Однако компания рекомендует пользователям поменять свои пароли. Причем рекомендация касается не только сервисов «Яндекс», а вообще всех сервисов.
Данная ошибка позволяет перехватывать информацию, передаваемую по защищенному каналу связи, похищать ключи шифрования и сертификаты, а следовательно, и создавать поддельные сайты, успешно проходящие стандартную проверку подлинности. Кроме того, использование этой уязвимости злоумышленниками не оставляет следов в журналах компьютеров, и специалисты не могут установить, подвергалась ли система атаке.