A biblioteca mais usada no gerenciamento da segurança de transações e informações criptografadas, conhecida como OpenSSL, guarda há anos uma brecha ou falha de segurança de alto risco capaz de expor senhas, números de cartões de crédito e dados completos de logins em lojas virtuais ou o que mais tenha sido informado no servidor vulnerável. Esta brecha é conhecida como “Heartbleed”.
Além de uma metáfora ao impacto que uma “fenda” ou “brecha” em um componente tão sensível como o OpenSSL pode causar, o “Heartbleed” ou “Sangramento no Coração” é uma falha de segurança considerada gravíssima e que como dito, expõe dados privados dos usuários, de qualquer natureza, incluindo financeiros.
A falha foi descoberta pela empresa Finlandesa de segurança Codenomicon, que testou em seus próprios servidores o potencial do “bug”. Daí, se descobriu que ela permite, além da obtenção de dados, a simulação de Autenticidade em Websites (Bancários e Lojas Virtuais), onde usuários podem ceder dados confidenciais à Crackers sem nenhuma desconfiança.
Falha Corrigida ou Não
Os protocolos SSL e LTS tiveram sua biblioteca OpenSSL atualizada para a versão 1.0.1g após a detecção; a fim de sanar a possibilidade de domínio e roubo de dados que a falha oferece. O problema é que desde o uso das versões vulneráveis 1.0.1 e 1.0.2-beta do OpenSSL, é impreciso e inumerável a projeção do dano sobre usuários que fazem uso contínuo de Websites bancários.
Quem adquire produtos utilizando lojas online ou normalmente faz login em suas contas de e-mail, esta cedendo dados que já podem ter sido usados de forma ilícita. Um engenheiro de segurança afirmou ter conseguido acesso a 200 logins e senhas do Yahoo Mail em simples 5 minutos.
A própria Mojang, empresa que administra e mantém o jogo Minecraft, comunicou que desligou seus servidores de autenticação e fez recomendações expressas aos seus usuários que fizeram Login nas últimas 30 horas, pedindo que alterem seus dados a fim de evitar o uso inapropriado das contas.
Outra preocupação é o tempo até a falha ser completamente sanada, tendo em vista que pode levar meses até que todos os desenvolvedores apliquem a atualização em seus Websites.
Como Evitar o Heartbleed
Foi publicado Nesta Lista, diariamente atualizada, a relação de sites vulneráveis e potencialmente expostos a ameaça. Dados usados neles ainda são passíveis de roubo e uso por pessoas não autorizadas.
Para ter um controle mais profundo dos servidores e Websites que acessa, um especialista em criptografia chamado Filippo Valsorda publicou uma ferramenta que permite conferir se um determinado endereço está suscetível à falha Heartbleed, basta clicar AQUI para ter acesso. Segundo a ferramenta, sites como Google, Microsoft, Twitter, Facebook, Dropbox e outros não foram afetados. Entretanto, o Yahoo, o OKCupid e o Imgur, para citar alguns, estão expostos.
O que você achou?
0 resposta(s)