OpenSSL шифрлаш пакетидаги Heartbleed деб аталган камчиликдан АҚШ Миллий хавфсизлик агентлиги (МХА) хабар топган, аммо буни ошкор этмай келган. Бу тўғрида Bloomberg берган маълумотга таяниб TJournal нашри хабар қилмоқда.
Bloomberg’га иккита аноним манбанинг маълум қилишича, МХА камида икки йил давомида Heartbleed’дан хабардор бўлган ва у орқали кўплаб сайтлардаги махфий ва шахсий маълумотларни олиб келган. Heartbleed орқали у бутун ер юзи бўйлаб миллионлаб оддий фойдаланувчиларнинг пароллари ва бошқа маълумотларини олиш имконига эга бўлган. Агентликнинг расмий вакили бу борадаги маълумотларга изоҳ беришни истамади.
Кейинроқ МХА буни расман рад этди ва Heartbleed ҳақида оммага маълум қилингунига қадар ундан бехабар бўлганлигини таъкидлади. Муассаса бу борада тарқатган баёнотда айтилишича, агар аввалдан билганида, миллий манфаатлардан келиб чиқиб, буни маълум қилган бўлар эди.
Heartbleed’дан фойдаланганда «из» қолмаслиги сабабли бу камчилик қанча фирибгарларга қўл келганлигини аниқлаш мушкул. У икки йил давомида мавжуд бўлган. OpenSSL’нинг функцияларидан бирига шу кодни киритган немис дастурчининг маълум қилишича, бу ҳол ўзининг ва киритилган ўзгартиришларни текширувчи кишининг эътиборсизлиги сабабли юзага келган.
OpenSSL кодига бундан икки йил аввал кириб қолган хато – Heartbleed ҳақида мутахассислар 7 апрель куни хабар топишди. Аниқланишича, ушбу камчилик қора ниятдаги кишиларга сервер тезкор хотирасининг айрим қисмларини ўқиш имконини берган.
Изоҳ (0)