rollon

айтишники об этом и так в курсе, так что этот пост для всех остальных.
в начале этой недели обнаружили серьёзную уязвимость в OpenSSL, которой дали название Heartbleed («кровотечение сердца»). название связано с тем, что уязвимость была в heartbeat («пульс» – то, как проверяется, жив ещё сервер или нет).
OpenSSL – это, упрощённо говоря, то, чем шифруются ваши данные, когда вы вводите пароль, чтоб войти на какой-нибудь сайт (например, чтобы прочесть почту).
по оценкам, этой уязвимости были подвержены около 17% серверов. на работе все на ушах ходили всю неделю. как написал Брюс Шнайер, по шкале от 1 до 10 это 11 баллов.
баг настолько серьёзный, что ему посвящён отдельный сайт и придуман логотип. это вообще первый баг с собственным брендом и маркетинговой кампанией (финны придумали, кстати).
вот как это работает в картинках:

или вот ещё одна картинка, показывающая реакцию NSA на то, что этот баг не могли найти 2 года (NSA, вероятно, была в курсе).

что делать? пока уязвимые сервера не пропатчили, сделать ничего было нельзя. основные сайты к концу недели уязвимость устранили и сейчас рассылают своим пользователям письма о том, чтобы они сменили пароли ВЕЗДЕ. и вообще, разумеется, не использовали один пароль на разных сайтах, о чём все знают и никто этого не делает.
так что:

меняйте пароли.

zerkms дополнил: проверьте, включена ли проверка отозванных сертификатов в вашем браузере. для Хрома это Settings -> Show advanced settings -> HTTPS/SSL. в Firefox эта опция у меня была уже включена по умолчанию, проверяется в Preferences -> Advanced -> Security -> Validation.

настраивайте двух-факторную аутентификацию везде, где это можно (для логина нужен будет не только пароль, но и уникальный код, полученный по смс или сгенерированный программой).

не используйте один пароль на разных сайтах.

пароль должен быть или случайно сгенерированным, или набором несвязанных слов (это, наверное, не безопаснее короткого случайно сгенерированного пароля, но запомнить определённо проще).