קבוצת האקרים: גם הקוד המתוקן של OpenSSL פגיע

קבוצת האקרים טוענת שמצאה פגיעויות בקוד המתוקן של OpenSSL, ספריית הקידוד הקריפוטגרפי, שתוקנה באחרונה בעקבות התקלה שנמצאה בפרוטוקול ה-Heartbleed שלה. לדברי אותה קבוצה, היא כבר פיתחה קוד שיודע לנצל את המצב, וחבריה אף העלו לאתר Postebin הצעה למכור את הקוד הזה לכל מי שירצה בכך תמורת 2.5 ביטקוין.

לפי ההאקרים, הם גילו גלישה באחד החוצצים שגורמת לפגיעות דומה לזו של Heartbleed. הגלישה הזו מאפשרת לגלות את רישומי הכניסה של המשתמשים או לגנוב את מפתח קידוד ה-SSL של השרת.

יצוין כי ההכרזה על התקלה החדשה ב-OpenSSL התקבלה בספקות. משתתפים בפורום Full Disclosure, שכולל דיווחים על פגיעויות במוצרי תוכנה שונים, ובמיוחד כאלה שמתייחסים ליישומים להם השפעה רבה על תחום המיחשוב, טוענים שהתיאור הטכני של הפגיעות יוצא דופן, כך שקשה להאמין שמדובר בפגיעות אמיתית. עם זאת, מכיוון שהקוד שפיתחה הקבוצה, לכאורה, אינו זמין לבדיקה, לא ניתן עדיין לשלול זאת לחלוטין.

חברות האבטחה הודיעו די מהר לאחר ההתגלות של Heartbleed שכשני שלישים מהשרתים המושפעים מהתקלה תוקנו. עם זאת, גם כיום, יותר משבועיים לאחר התגלותה, יש עדיין אתרים פגיעים.