8.4.2014

Heartbleed-haavoittuvuus on paikattu Kielipankin palvelimilla

Maanantaina 7.4.2014 paljastui poikkeuksellisen laaja, Heartbleed-niminen tietoturva-aukko (ks. http://heartbleed.com/), joka koski myös niitä Kielipankin palvelimia, joilla on käytössä HTTPS-suojaus, eli lat.csc.fi, korp.csc.fi sekä kitwiki.csc.fi (Kielipankin kotisivupalvelin). Kaikki palvelimet päivitettiin 8.4.2014 aamulla välittömästi sen jälkeen, kun haavoittuvuus tuli ylläpidon tietoon.

Vaikka palvelimet ovat nyt turvassa, on olemassa pieni mahdollisuus, että niistä on urkittu tietoja viime kahden vuoden aikana. Riski on kuitenkin hyvin pieni, sillä LAT ja Korp eivät käsittele käyttäjien tietoja. Sen sijaan KitWiki käsittelee käyttäjien salasanoja, joten on teoriassa mahdollista, että KitWikin salasana on vuotanut, mikäli käyttäjä on ollut hyökkäyksen aikana tai vähän ennen sitä kirjautuneena KitWikiin. Vaikka väärinkäytösten mahdollisuudet KitWikissä ovat rajalliset, on KitWiki-salasana syytä vaihtaa.

Heartbleed-aukon jäljiltä on yleisemminkin hyvä idea vaihtaa salasana kaikissa paljon käytetyissä ja/tai tärkeissä palveluissa. Suosittelemme salasanahallintatyökalun käyttöä, ks. esim http://www.ilmaisohjelmat.fi/salasanojen-hallinta tai englanniksi: http://www.pcmag.com/article2/0,2817,2407168,00.asp .

Suhtaudu kuitenkin suurella varauksella epämääräisiin sähköpostiviesteihin, joissa mainitaan Heartbleed ja tarjotaan suoraa linkkiä salasanan vaihtoon. Roskapostittajat ja haittaohjelmien kehittäjät saattavat käyttää tilaisuutta hyväkseen. Tällaisia linkkejä ei siis kannata klikata.