פגם הצפנה שנקראבאג דימום לבזוכה כבר לכינוי אחד מאיומי האבטחה הגדולים ביותר שהאינטרנט ראה אי פעם. הבאג השפיע על אתרים ושירותים פופולריים רבים - כאלה שאתה עשוי להשתמש בהם מדי יום, כמו Gmail ופייסבוק - ויכול היה לחשוף בשקט את פרטי החשבון הרגישים שלך (כגון סיסמאות ומספרי כרטיסי אשראי) במהלך השנתיים האחרונות.
אבל לא תמיד היה ברור אילו אתרים הושפעו. Mashable פנה לכמה מאתרי החברתיים, האימייל, הבנקאות והמסחר הפופולריים ביותר ברשת. ריכזנו את התגובות שלהם למטה.
ראה גם:
כמה חברות אינטרנט שהיו פגיעות לבאג כבר עדכנו את השרתים שלהן עם תיקון אבטחה כדי לתקן את הבעיה. משמעות הדבר היא שתצטרך להיכנס ולשנות את הסיסמאות שלך באופן מיידי עבור אתרים אלה. אפילו זהאין ערובה שהמידע שלך לא נפגע כבר, אבל אין גם אינדיקציה שהאקרים ידעו על הניצול לפני השבוע. החברות הממליצות ללקוחות לשנות את הסיסמאות שלהם עושות זאת כאמצעי זהירות.
למרות ששינוי הסיסמה שלך באופן קבוע הוא תמיד נוהג טוב, אם אתר או שירות עדיין לא תיקנו את הבעיה, המידע שלך עדיין יהיה פגיע.
כמו כן, אם השתמשת שוב באותה סיסמה במספר אתרים, ואחד מהאתרים הללו היה פגיע, תצטרך לשנות את הסיסמה בכל מקום. בכל מקרה, זה לא רעיון טוב להשתמש באותה סיסמה במספר אתרים.
אנו נמשיך לעדכן את הרשימה ככל שיגיע מידע חדש. עדכון אחרון: 19 באפריל, 11:00 בבוקר ET
td { רקע-צבע: לבן; }
רשתות חברתיות
האם זה הושפע?
יש תיקון?
האם אתה צריך לשנות את הסיסמה שלך?
מה הם אמרו?
פייסבוק
לֹא בָּרוּר
כֵּן
כן כן
"הוספנו הגנות להטמעת OpenSSL של פייסבוק לפני שנושא זה נחשף בפומבי. לא זיהינו סימנים לפעילות חשודה בחשבון, אך אנו מעודדים אנשים... להגדיר סיסמה ייחודית."
אינסטגרם
כֵּן
כֵּן
כן כן
"צוותי האבטחה שלנו עבדו במהירות על תיקון ואין לנו הוכחות לחשבונות כלשהם שנפגעו. אבל מכיוון שאירוע זה השפיע על שירותים רבים ברחבי האינטרנט, אנו ממליצים לעדכן את הסיסמה שלך באינסטגרם ובאתרים אחרים, במיוחד אם אתה משתמש באותה סיסמה במספר אתרים."
לינקדאין
לֹא
לֹא
לֹא
"לא השתמשנו ביישום הפוגע של OpenSSL ב-www.linkedin.com או www.slideshare.net. כתוצאה מכך, HeartBleed אינו מהווה סיכון לנכסי אינטרנט אלו."
פינטרסט
כֵּן
כֵּן
כן כן
"תיקנו את הבעיה ב-Pinterest.com, ולא מצאנו שום עדות לשובבות. כדי להיות זהירים במיוחד, שלחנו אימייל לפינרים שאולי הושפעו, ועודדנו אותם לשנות את הסיסמאות שלהם".
טאמבלר
כֵּן
כֵּן
כן כן
"אין לנו ראיות להפרה כלשהי, וכמו רוב הרשתות, הצוות שלנו נקט פעולה מיידית כדי לתקן את הבעיה".
לְצַפְצֵף
לֹא
כֵּן
לֹא בָּרוּר
לְצַפְצֵףכתבש-OpenSSL "נמצא בשימוש נרחב ברחבי האינטרנט ובטוויטר. הצלחנו לקבוע שהשרתים [שלנו] לא הושפעו מהפגיעות הזו. אנחנו ממשיכים לעקוב אחר המצב". בעוד הם חוזרים על כך שהם לא הושפעו, טוויטר אמרה ל-Mashable שהם אכן החילו תיקון.
חברות אחרות
האם זה הושפע?
יש תיקון?
האם אתה צריך לשנות את הסיסמה שלך?
מה הם אמרו?
תַפּוּחַ
לֹא
לֹא
לֹא
"iOS ו-OS X מעולם לא שילבו את התוכנה הפגיעה ושירותי מפתח מבוססי אינטרנט לא הושפעו."
אֲמָזוֹנָה
לֹא
לֹא
לֹא
"Amazon.com לא מושפע."
גוגל
כֵּן
כֵּן
כן כן*
"הערכנו את פגיעות ה-SSL והחלנו תיקונים על שירותי מפתח של Google." החיפוש, Gmail, YouTube, ארנק, Play, Apps ו-App Engine הושפעו; Google Chrome ו-Chrome OS לא היו.
*גוגלאמרמשתמשים לא צריכים לשנות את הסיסמאות שלהם, אבל בגלל הפגיעות הקודמת, עדיף בטוח מאשר מצטער.
מיקרוסופט
לֹא
לֹא
לֹא
שירותי מיקרוסופט לא הפעילו OpenSSL, לפי LastPass.
יאהו
כֵּן
כֵּן
כן כן
"ברגע שנודע לנו על הבעיה, התחלנו לעבוד כדי לתקן אותה... ואנחנו פועלים ליישם את התיקון בשאר האתרים שלנו ברגע זה." דף הבית של Yahoo, Yahoo Search, Yahoo Mail, Yahoo Finance, Yahoo Sports, Yahoo Food, Yahoo Tech, Flickr ו-Tumblr טופלו. עוד תיקונים יגיעו, אומר יאהו.
אֶלֶקטרוֹנִי
האם זה הושפע?
יש תיקון?
האם אתה צריך לשנות את הסיסמה שלך?
מה הם אמרו?
AOL
לֹא
לֹא
לֹא
AOL אמרה ל-Mashable שהיא לא מפעילה את הגרסה הפגיעה של התוכנה.
Gmail
כֵּן
כֵּן
כן כן*
"הערכנו את פגיעות ה-SSL והחלנו תיקונים על שירותי מפתח של Google."
*גוגלאמרמשתמשים לא צריכים לשנות את הסיסמאות שלהם, אבל בגלל הפגיעות הקודמת, עדיף בטוח מאשר מצטער.
הוטמייל / אאוטלוק
לֹא
לֹא
לֹא
שירותי מיקרוסופט לא הפעילו OpenSSL, לפי LastPass.
Yahoo Mail
כֵּן
כֵּן
כן כן
"ברגע שנודע לנו על הבעיה, התחלנו לעבוד כדי לתקן אותה... ואנחנו פועלים ליישם את התיקון בשאר האתרים שלנו ברגע זה."
חנויות ומסחר
האם זה הושפע?
יש תיקון?
האם אתה צריך לשנות את הסיסמה שלך?
מה הם אמרו?
אֲמָזוֹנָה
לֹא
לֹא
לֹא
"Amazon.com לא מושפע."
שירותי האינטרנט של אמזון(למפעילי אתרים)
כֵּן
כֵּן
כן כן
רוב השירותים לא הושפעו או שאמזון כבר הייתה מסוגלת ליישם הפחתה (ראה הערת ייעוץ כאן). Elastic Load Balancing, Amazon EC2, Amazon Linux AMI, Red Hat Enterprise Linux, Ubuntu, AWS OpsWorks, AWS Elastic Beanstalk ו-Amazon CloudFront טופלו.
איביי
לֹא
לֹא
לֹא
"eBay.com מעולם לא היה פגיע לבאג הזה כי מעולם לא הרצנו גרסה פגיעה של OpenSSL."
אטסי
כֵּן*
כֵּן
כן כן
אטסיאמרשרק חלק קטן מהתשתית שלו היה פגיע, והם תיקנו את זה.
GoDaddy
כֵּן
כֵּן
כן כן
"עדכנו שירותי GoDaddy שמשתמשים בגרסת OpenSSL המושפעת."הצהרה מלאה
גרופון
לֹא
לֹא
לֹא
"Groupon.com אינו משתמש בגרסה של ספריית OpenSSL הרגישה לבאג Heartbleed."
נורדסטרום
לֹא
לֹא
לֹא
"אתרי נורדסטרום אינם משתמשים בהצפנת OpenSSL."
PayPal
לֹא
לֹא
לֹא
"פרטי חשבון PayPal שלך לא נחשפו בעבר ונשארו מאובטחים."הצהרה מלאה
יַעַד
לֹא
לֹא
לֹא
"[אנחנו] השקנו סקירה מקיפה של כל ההיבטים החיצוניים של Target.com... ולא מאמינים כרגע שהיבטים חיצוניים של האתרים שלנו מושפעים מפגיעות OpenSSL."
Walmart
לֹא
לֹא
לֹא
"אנחנו לא משתמשים בטכנולוגיה הזו ולכן לא הושפענו מהפרה הספציפית הזו".
סרטונים, תמונות, משחקים ובידור
האם זה הושפע?
יש תיקון?
האם אתה צריך לשנות את הסיסמה שלך?
מה הם אמרו?
פליקר
כֵּן
כֵּן
כן כן
"ברגע שנודע לנו על הבעיה, התחלנו לעבוד כדי לתקן אותה... ואנחנו פועלים ליישם את התיקון בשאר האתרים שלנו ברגע זה."
הולו
לֹא
לֹא
לֹא
לא סופקה הערה.
מיינקראפט
כֵּן
כֵּן
כן כן
"נאלצנו להשעות זמנית את כל השירותים שלנו... הניצול תוקן. אנחנו לא יכולים להבטיח שהמידע שלך לא נפגע."מידע נוסף
פנדורה
לֹא
לֹא
לֹא
לא סופקה הערה.
נטפליקס
כֵּן
כֵּן
כן כן
"כמו חברות רבות, נקטנו בפעולה מיידית כדי להעריך את הפגיעות ולטפל בה. אנחנו לא מודעים להשפעה כלשהי על הלקוח. זה מנהג טוב להחליף סיסמאות מעת לעת, עכשיו יהיה זמן טוב לחשוב על כך. "
SoundCloud
כֵּן
כֵּן
כן כן
בסאונדקלאוד הדגישו כי אין אינדיקציות למשחק עבירה כלשהו וכי פעולות החברה היו רק אמצעי זהירות.
יוטיוב
כֵּן
כֵּן
כן כן*
"הערכנו את פגיעות ה-SSL והחלנו תיקונים על שירותי מפתח של Google."
*גוגלאמרמשתמשים לא צריכים לשנות את הסיסמאות שלהם, אבל בגלל הפגיעות הקודמת, עדיף בטוח מאשר מצטער.
כַּספִּי
כל הבנקים אליהם יצרנו קשר (ראה להלן) אמרו שהם לא הושפעו מה-Heartbleed, אבל הרגולטורים בארה"בהזהירוהבנקים לתקן את המערכות שלהם.
האם זה הושפע?
יש תיקון?
האם אתה צריך לשנות את הסיסמה שלך?
מה הם אמרו?
אָמֶרִיקָן אֶקספּרֶס
לֹא
לֹא
לֹא
"לא הייתה שום פשרה לגבי נתוני לקוח. אמנם אנחנו לא דורשים מהלקוחות לנקוט פעולה ספציפית בשלב זה, אבל זה נוהג אבטחה טוב לעדכן באופן קבוע סיסמאות אינטרנט".
קרנות אמריקאיות
כֵּן
כֵּן
כן כן
קרנות אמריקאיותאמר ללקוחותלשנות את שם המשתמש והסיסמא שלהם, שכן החברה "למדה על חלון סיכון צר מאוד למי שנכנס ל-americanfunds.com בין 12 בדצמבר 2013 ל-14 באפריל 2014".
בנק אוף אמריקה
לֹא
לֹא
לֹא
"רוב הפלטפורמות שלנו אינן משתמשות ב-OpenSSL, ואלו שכן, אישרנו שאין נקודות תורפה."
ברקליס
לֹא
לֹא
לֹא
לא סופקה הערה.
Capital One
לֹא
לֹא
לֹא
"Capital One משתמש בגרסה של הצפנה שאינה פגיעה ל-Heartbleed."
מִרדָף
לֹא
לֹא
לֹא
"אתרים אלו אינם משתמשים בתוכנת ההצפנה הפגיעה לבאג Heartbleed."
Citigroup
לֹא
לֹא
לֹא
Citigroup אינה משתמשת ב-Open SSL ב"אתרי בנקאות קמעונאיים וכרטיסי אשראי ואפליקציות מובייל הפונות ללקוח"
E*טרייד
לֹא
לֹא
לֹא
E*Trade עדיין חוקרת.
נֶאֱמָנוּת
לֹא
לֹא
לֹא
"יש לנו שכבות מרובות של אבטחה כדי להגן על האתרים והשירותים של הלקוחות שלנו."
PNC
לֹא
לֹא
לֹא
"בדקנו את מערכות הבנקאות המקוונות והסלולריות שלנו ואישרנו שהן אינן פגיעות לבאג Heartbleed".
שוואב
לֹא
לֹא
לֹא
"המאמצים עד כה לא זיהו את הפגיעות הזו ב-Schwab.com או באף אחד מהערוצים המקוונים שלנו."
סקוטרייד
לֹא
לֹא
לֹא
"Scottrade אינה משתמשת בגרסה המושפעת של OpenSSL באף אחת מהפלטפורמות הפונות ללקוח שלנו."
TD Ameritrade
לֹא
לֹא
לֹא
TD Ameritrade "אינה משתמשת בגרסאות של openSSL שהיו פגיעות."
בנק TD
לֹא
לֹא
לֹא
"אנו נוקטים כעת באמצעי זהירות וצעדים כדי להגן על נתוני לקוחות מפני האיום הזה ואין לנו סיבה להאמין שנתוני לקוחות נפגעו בעבר."
טי רו פרייס
לֹא
לֹא
לֹא
"אתרי T. Rowe Price אינם פגיעים לבאג SSL "Heartbleed" וגם לא היו פגיעים בעבר."
הבנק האמריקאי
לֹא
לֹא
לֹא
"איננו משתמשים ב-OpenSSL עבור ערוצי בנקאות אינטרנטיים מול לקוחות, כך שנתוני לקוחות הבנק האמריקאי אינם בסיכון."
חֵיל הֶחָלוּץ
לֹא
לֹא
לֹא
"אנחנו לא משתמשים, ולא השתמשנו, בגרסה הפגיעה של OpenSSL."
ונמו
כֵּן
כֵּן
כן כן
Venmo שלחה אימייל למשתמשים שלה, ואמרה שהחברה נקטה "בצעדים מיידיים כדי לתקן את הפגיעות הפוטנציאלית" והמליצה להם לשנות את הסיסמאות שלהם.
וולס פארגו
לֹא
לֹא
לֹא
לא סופקה סיבה.
ממשלה ומיסים
האם זה הושפע?
יש תיקון?
האם אתה צריך לשנות את הסיסמה שלך?
מה הם אמרו?
1040.com
לֹא
לֹא
לֹא
"איננו פגיעים לבאג Heartbleed, מכיוון שאנו לא משתמשים ב-OpenSSL."
FileYourTaxes.com
לֹא
לֹא
לֹא
"אנחנו מתקנים באופן רציף את השרתים שלנו כדי לעדכן אותם. עם זאת, הגרסה שבה אנו משתמשים לא הושפעה מהבעיה, ולכן לא ננקטה כל פעולה".
בלוק H&R
לֹא
לֹא
לֹא
"אנו בודקים את המערכות שלנו וכרגע לא מצאנו סיכון לנתוני לקוחות כתוצאה מהנושא הזה."
Healthcare .gov
לֹא בָּרוּר
כֵּן
כן כן
Healthcare.gov אמר במקור ל-Mashable, "חשבונות צרכנים אינם מושפעים מהפגיעות הזו." אבל הם מאוחר יותרפורסם, "נקטנו צעדים כדי לטפל בבעיות Heartbleed ואיפוס סיסמאות של צרכנים מתוך שפע של זהירות."
אינטואיט (TurboTax)
לֹא
לֹא
לֹא
טורבוטקסכתבש"מהנדסים אימתו ש-TurboTax אינו מושפע מה-Heartbleed". החברה הנפיקה אישורים חדשים בכל מקרה, ואמרה שהיא לא "מייעצת באופן יזום" למשתמשים לשנות את הסיסמאות שלהם.
מַס הַכנָסָה
לֹא
לֹא
לֹא
"מס הכנסה ממשיך לקבל החזרי מס כרגיל... והמערכות ממשיכות לפעול ואינן מושפעות מבאג זה. איננו מודעים לפרצות אבטחה כלשהן הקשורות למצב זה".
TaxACT
לֹא
לֹא
לֹא
"לקוחות יכולים לעדכן את הסיסמאות שלהם בכל עת, למרות שאנו לא ממליצים להם לעשות זאת באופן יזום בשלב זה."
USAA
כֵּן
כֵּן
כן כן
USAAאמרשהיא "כבר נקטה באמצעים כדי לסייע במניעת פריצת מידע והטמיעה תיקון מוקדם יותר השבוע".
אַחֵר
האם זה הושפע?
יש תיקון?
האם אתה צריך לשנות את הסיסמה שלך?
מה הם אמרו?
קוּפסָה
כֵּן
כֵּן
כן כן
"כרגע אנו עובדים עם הלקוחות שלנו לאיפוס יזום של סיסמאות ומנפיקים מחדש תעודות SSL חדשות להגנה נוספת."
Dropbox
כֵּן
כֵּן
כן כן
עַללְצַפְצֵף: "תיקנו את כל השירותים הפונים למשתמש שלנו ונמשיך לעבוד כדי לוודא שהדברים שלך בטוחים תמיד."
Evernote
לֹא
לֹא
לֹא
"השירות של Evernote, אפליקציות Evernote ואתרי Evernote... כולם משתמשים ביישומים שאינם OpenSSL של SSL/TLS כדי להצפין תקשורת ברשת."הצהרה מלאה
GitHub
כֵּן
כֵּן
כן כן
GitHubאמרהיא תיקנה את כל המערכות שלה, פרסה תעודות SSL חדשות ובטלה ישנות. GitHub מבקש מכל המשתמשים לשנות סיסמה, לאפשר אימות דו-גורמי ו"לבטל וליצור מחדש גישה אישית ואסימוני אפליקציה".
IFTTT
כֵּן
כֵּן
כן כן
IFTTT שלחה אימייל לכל המשתמשים שלה והוציאה אותם מהחשבון, מה שהנחה אותם לשנות את הסיסמה שלהם באתר.
OKCupid
כֵּן
כֵּן
כן כן
"אנחנו, כמו רוב האינטרנט, היינו המומים מכך שבאג כל כך רציני קיים כל כך הרבה זמן והיה כה נפוץ".
Spark Networks (JDate, Christian Mingle)
לֹא
לֹא
לֹא
אתרים אינם משתמשים ב-OpenSSL.
SpiderOak
כֵּן
כֵּן
לֹא
ספיידרואקאמרהוא תיקן את השרתים שלו, אבל לקוח שולחן העבודה אינו משתמש בגרסה פגיעה של OpenSSL, כך ש"לקוחות לא צריכים לנקוט בשום פעולה מיוחדת."
ויקיפדיה(אם יש לך חשבון)
כֵּן
כֵּן
כן כן
"אנו ממליצים לשנות את הסיסמה שלך כאמצעי זהירות סטנדרטי, אך איננו מתכוונים כרגע לאכוף שינוי סיסמה עבור כל המשתמשים."הצהרה מלאה
וורדפרס
כֵּן
כֵּן
כן כן
וורדפרסמְאוּשָׁרשזה היה פגיע ל-Heartbleed ושהוא תיקן את השרתים שלו "בתוך כמה שעות מהחשיפה לציבור". וורדפרס לא מאלצת משתמשים לשנות את הסיסמאות שלהם, אך אמרה שמשתמשים "מוזמנים" לעשות זאת.
רשימת פלאים
כֵּן
כֵּן
כן כן
"תצטרך פשוט להיכנס חזרה ל-Wunderlist. אנו גם ממליצים בחום לאפס את הסיסמה שלך ל-Wunderlist."הצהרה מלאה
מנהלי סיסמאות
האם זה הושפע?
יש תיקון?
האם אתה צריך לשנות את הסיסמה שלך?
מה הם אמרו?
1 סיסמה
לֹא
לֹא
לֹא
1הסיסמה נאמרה ב-aפוסט בבלוגשהטכנולוגיה שלה "לא בנויה על SSL/TLS בכלל, ולא על OpenSSL בפרט". אז המשתמשים לא צריכים לשנות את סיסמת האב שלהם.
דשלאן
כֵּן
כֵּן
לֹא
דשלאן אמר בפוסט בבלוגחשבונות המשתמשים לא הושפעו וסיסמת האב בטוחה מכיוון שהיא לעולם לא מועברת. האתר אכן משתמש ב-OpenSSL בעת סנכרון נתונים עם השרתים שלו, אך דשלאן אמר שהוא תיקן את הבאג, הנפיק אישורי SSL חדשים וביטל קודמים.
LastPass
כֵּן
כֵּן
לֹא
"למרות ש-LastPass משתמשת ב-OpenSSL, יש לנו שכבות מרובות של הצפנה כדי להגן על המשתמשים שלנו ולעולם אין לה גישה למפתחות ההצפנה האלה." משתמשים לא צריכים לשנות את סיסמאות המאסטר שלהם בגללהם אף פעם לא נשלחים לשרת. אבל ייתכן שיהיה צורך לשנות סיסמאות לאתרים אחרים המאוחסנים ב-LastPass.
כתבים שתרמו לסיפור זה כוללים את סמנתה מרפי קלי, לורנצו פרנצ'שי-ביצ'יראי, סת' פיגרמן, אדריו סטריינג' וקורט וגנר.
מאילו אתרים נוספים אתה מודאג?ספר לנו בתגובות.
בונוס: מהו באג הלבבייד?
