Популярный пакет OpenSSL с открытым исходным кодом, использующийся для шифрования коммуникаций между серверами и браузерами, оказался подвержен новому типу атак. Уязвимость, получившая название DROWN, ставит под угрозу безопасность миллионов сайтов, обеспечивающих передачу данных по зашифрованному протоколу HTTPS, пишет hitech.vesti.ru.

Воспользовавшись "дырой" в криптографическом протоколе SSLv2, злоумышленники могут перехватить и расшифровать интернет-трафик, получив доступ к паролям и номерам кредитных карт. SSLv2 используется на серверах крупнейших IT-компаний, таких как Yahoo, Alibaba, Weibo, BuzzFeed, Weather.com, Flickr и Samsung.

SSLv2, появившаяся еще в 90-х, — это устаревшая версия защищенного протокола OpenSSL, которая может включаться автоматически при настройке нового веб-сервера. 

По оценке сайта Ars Technica, атаке DROWN подвержены 11 миллионов сайтов и почтовых служб, использующих HTTPS-соединение. А из миллиона самых популярных ресурсов в Сети таких насчитывается 81 тысяча.