Bezpečnost: Reakce na zranitelnost Heartbleed

Pro šifrovanou komunikaci používáme knihovnu OpenSSL. V té byla v pondělí 7. dubna večer objevena závažná bezpečnostní chyba (CVE-2014-0160, Heartbleed) postihující přibližně 70 % webových serverů na internetu. Chyba umožňovala útočníkovi číst obsah paměti, získat hesla, klíče a obsah šifrované komunikace.

Jak reagoval Fakturoid?

• V úterý 8. po poledni jsme zabezpečili všechny naše webové servery nasazením záplatované knihovny OpenSSL.
• Krátce po půlnoci jsme pro jistotu vygenerovali nové SSL certifikáty.
• Přidali jsme možnost požádat o přegenerování API klíče přímo z obrazovky Já.

Navíc jsme už dříve nasadili Perfect Forward Secrecy, která umožní zachovat komunikaci soukromou i při uniknutí šifrovacího klíče.

Co můžete udělat vy?

Byť je riziko zneužití spíše teoretické, doporučujeme pro jistotu změnu hesla ve Fakturoidu (záložka Já) a přegenerování API klíče.