Протокол HTTPS оказался подвержен новому типу атак, ориентированных на похищение пользовательских данных.
Протокол HTTPS является одним из самых распространённых для криптографической защиты данных пользователей и защиты их персональной информации. Однако, недавно в протоколе была обнаружена уязвимость к новым типам хакерских атак.
Найденная ошибка в защите протокола позволяет злоумышленникам похищать персональные данные пользователей, в том числе, данных об их почтовых ящиках, паролях и платёжных реквизитах. Причём, в большинстве случаев время удачной атаки не превышает 30 секунд.
Эксплоит Breach способен "вскрыть" зашифрованный SSL поток за 30 секунд
Более подробную информацию обещают сообщить на грядущей конференции по безопасности Black Hat в Лос-Анджелесе. Уже сейчас точно известно, что удаётся перехватывать и декодировать любые данные между пользователем и системами электронной коммерции и электронного банкинга по протоколам TLS (Transport Layer Protocol) и SSL (Secure Sockets Layer).
Атака через обнаруженную уязвимость позволяет “вскрывать” номера карт социального страхования, банковских карт, адреса электронных писем, ссылки на сброс пароля и некоторые виды электронных ключей и подписей.
Единственным условием для успешной атаки является пассивный доступ к передаваемому трафику и нажатие пользователем на вредоносную ссылку, например, посредством кода iFrame.