Популярный пакет OpenSSL с открытым исходным кодом, использующийся для шифрования коммуникаций между серверами и браузерами, оказался подвержен новому типу атак. Уязвимость, получившая название DROWN, ставит под опасность безопасность млн. интернет-представительств, обеспечивающих передачу данных по зашифрованному протоколу HTTPS.

Воспользовавшись " дырой" в криптографическом протоколе SSLv2, злоумышленники имеют возможность перехватить и расшифровать интернет-трафик, получив доступ к паролям и номерам банковских карт. SSLv2 используется на серверах крупнейших IT-компаний, подобных как Яху, Alibaba, Weibo, BuzzFeed, Weather. Com, Flickr и Samsung.

SSLv2, появившаяся еще в 90-х, — это устаревшая версия защищенного протокола OpenSSL, которая может включаться автоматически при настройке нового веб-сервера. Чтобы защититься от DROWN-атаки, системным администраторам рекомендуется немедленно отключить SSLv2 и установить " заплатку" либо настроить файерволл для фильтрации SSLv2-трафика и удостовериться, что секретный ключ не разделяют несколько серверов.

По анализу интернет представительства Ars Technica, атаке DROWN подвержены одиннадцать млн. интернет-представительств и почтовых служб, использующих HTTPS-соединение. А из миллиона наиболее популярных ресурсов в Сети интернет подобных насчитывается 81 тысяча.