Falha no OpenSSL compromete dados sigilosos de usuarios
Um bug com nome de Heartbleed, foi detectado. A falha se estende a cerca de 2/3 dos serviços da Web que usam o OpenCSSL e permite aos provedores de serviços encriptarem dados em SSL (Secure Sockets Layer) ou TLS (Transport Security Layer), comprometendo os dados dos usuários de internet em escala global. O software é utilizado por serviços de e-mails, bancos, bate-papo e até redes privadas. Normalmente, sites que usam a solução exibem um cadeado verde no lado esquerdo da barra de url do browser.
É possível que as informações que você confiou ao website para realizar transações online e serviços em geral, sejam acessadas por terceiros. O cracker pode inclusive decodificar dados obtidos no passado, o que torna ineficaz medidas como mudança de senhas ou apagar o número do cartão de crédito. "Uma vez que o atacante tem acesso às chaves de encriptação do servidor, vale tudo". Diz Jill Scharr, colunista da Tom's Guide.
A descoberta foi feita pelos pesquisadores do laboratório finlandês Codenomicon, eles testaram a falha em suas próprias bibliotecas de dados. Sem deixar nenhum vestígio, tiveram acesso a informações críticas guardadas nos servidores, como senhas, certificados, comunicações, nomes de usuários e documentos de negócios através das chaves de encriptação -- "as jóias da coroa", como definem os especialistas. Só era possível baixar 64 KB de dados em uma invasão, porém não havia limite para a quantidade de acessos.
Já foi disponibilizada uma versão mais recente do OpenSSL, mas deve ser implementada por cada administrador de sistemas. O usuário, por si só, não pode fazer muito: "Se um site não tiver atualizado sua biblioteca Open SSL e mudado os certificados, uma nova senha estará tão comprometida quanto a anterior", afirma Scharr.
Um site publicado pelos pesquisadores da Codenomicon Defensics, explica os detalhes do bug, tirando toda dúvida sobre o assunto. Um serviço para checar os sites usados também foi disponibilizado.
Sites e serviços como o Yahoo!, Flickr, StackOverflow, XDA-Developers, Imgur, WeTransfer e Steam Community, haviam sido afetados pela vulnerabilidade.