Esistono casi noti di brodi di sicurezza dannosi che sfruttano la vulnerabilità Heartbleed? O al momento c'è solo una vulnerabilità nota, anche se molto seria?
Esistono casi noti di brodi di sicurezza dannosi che sfruttano la vulnerabilità Heartbleed? O al momento c'è solo una vulnerabilità nota, anche se molto seria?
Ci sono diversi esempi di prove di questo tipo, e i ricercatori sono stati in grado di usarli per rubare le chiavi private e le credenziali di accesso degli utenti, tra le altre cose.
Ho trovato un post sul blog che spiega come utilizzare uno script python per automatizzare il recupero delle informazioni sulla sessione utente da un server vulnerabile. Ho anche sentito che le persone erano in grado di rubare le credenziali di accesso di Yahoo in testo normale.
Quindi sì - Ci sono attacchi che funzionano e potenzialmente chiunque potrebbe usarli in questo momento.
Bene, per i malintenzionati, quelli tendono ad essere segreti fino a quando i risultati non sono trapelati.
Per un attacco che ha effettivamente trovato la password di qualcuno, c'è questo esempio di Twitter del nome utente e della password di un utente Yahoo.com di Mark Loman , che è abbastanza chiaro che almeno un utente ha utilizzato le credenziali di accesso di qualcuno che utilizza Heartbleed.
Leggi altre domande sui tag openssl known-vulnerabilities heartbleed