АНБ уже 2 года знало об уязвимости Heartbleed
Bloomberg, ссылаясь на анонимный источник, сообщил, что Агентство национальной безопасности США прекрасно знало об ошибке Heartbleed в OpenSSL в течение последних двух лет. Более того, АНБ регулярно использовало ошибку, чтобы получить необходимую информацию.
В недавней статье Bloomberg «источник близкий к происходящему» заявил, что АНБ «регулярно использовало ошибку для получения критично важных сведений», в то же время никак не предупреждая о ней разработчиков OpenSSL.
«Поместив ошибку Heartbleed в свой арсенал, АНБ могла добывать пароли и прочие основные данные, которые составляли блоки превосходных операций хакеров, стоящих в основе его миссии, однако ценой миллионов обычных пользователей, которые оказались уязвимыми к атакам прочих государственных разведывательных структур и криминальных хакеров».
В дирекции Национального разведывательного совета США опровергли данные сведения, заявив, что федеральное правительство ничего не знало о Heartbleed, пока об ошибке не сообщили исследователи в области безопасности. Там пояснили, что федеральные агентства скорее заинтересованы в выявлении уязвимостей, чем в сохранении их для разведывательных целей, поскольку этот подход полностью соответствует позиции «абсолютной национальной безопасности».
В дирекции сослались на таковые рекомендации Белого Дома, сообщив, что они называются Vulnerabilities Equities Process (что можно перевести как «обычный процесс работы с уязвимостями»), которые направлены на выявление ошибок подобных Heartbleed.