Пробивът в сигурността на сертификата OpenSSL се оказва по-мащабен и сериозен. Уязвимостта, кръстена Heartbleed, може да бъде използвана по различни начини, за да се преодоляват дори системи за сигурност с няколко метода на идентификация, съобщава онлайн изданието Ars technica.

Специалисти от компанията за киберсигурност Mandiant са открили, че хакери са използвали Heartbleed и са успели да преодолеят защитите на VPN концентратор на голяма компания. Тези устройства изискват множество начини за идентификация и играят роля на портал между фирмената мрежа и външния свят, като позволяват на служители на компанията да получават достъп до вътрешната инфраструктура от разстояние.

Хакерите са атакували директно устройството, като са се възползвали от уязвимостта в OpenSSL, тъй като не е била инсталирана обновената версия. В резултат атакуващите са получили достъп до няколко активни потребителски сесии и са могли да виждат в реално време какво се случва. След това са получили и неограничен достъп за себе си, като атаката е заобиколила всички методи за идентификация, независимо, че организацията е използвала сигурен софтуер и според в. The New York Times, е разполагала със системи за засичане на кибератаки доста над средното ниво.

Проблемът е сериозен, тъй като все още има и много сървъри, които не са обновили OpenSSL и са уязвими. Според проучване на компанията за киберсигурност Sucuri над 21 хил. сайта от най-популярните 1 млн. онлайн дестинации все още са уязвими. Добрата новина е, че сред най-популярните 1000 страници няма такива проблеми.