Especialistas de segurança descobriram uma grande falha em um software usado por centenas de bancos, e-mails, redes sociais e lojas on-line de todo o mundo. O bug chamado de Heartbleed afeta o OpenSSL, uma biblioteca de código aberto, responsável por criptografar informações em servidores e manter seus dados seguros. Só para ter ideia da dimensão, essa é a tecnologia responsável por implantar o S no HTTP, protegendo o seu login
.
O OpenSSL é adotado por aproximadamente 2 em cada 3 servidores no mundo e a brecha é capaz de revelar nomes de usuários, senhas e conteúdo das mensagens criptografadas.
Em um comparativo de fácil entendimento, podemos dizer que o bug é como uma porta com a fechadura ruim. A proteção ainda existe e é perceptível, no entanto, qualquer um que saiba do defeito pode adentrar a residência e ter acesso a todos os cômodos e objetos da casa.
A boa notícia é que a organização OpenSSL Project agiu rápido e liberou uma atualização para as versões mais recentes do software, garantido assim, segurança maior. Empresas internacionais como Amazon e Yahoo já emitiram notas a respeito de suas medidas contra a vulnerabilidade. Já empresas como Apple e Microsoft utilizam suas próprias ferramentas de segurança.
No entanto, nenhuma empresa nacional (como os grandes varejistas do comércio eletrônico) falou a respeito do assunto. Silêncio capaz de gerar prejuízo em ambos os lados. Abaixo você pode entender um pouco mais sobre o Heartbleed.
A vulnerabilidade do software descrita pelo pesquisado Neel Mehta, do Google, é identificada como CVE-2014-0160. Capaz de afetar o OpenSSL nas versões mais recentes, o problema foi localizado na extensão “Heartbeat”. A brecha permite que hackers possam “pescar” até 64kb de informações de dados hospedados em servidores. O número parece baixo, mas o processo pode ser repetido inúmeras vezes até formar uma informação relevante que pode até mesmo, conceder acesso a todo o tráfego de dados.
Sim. A correção já existe e está sendo implementada pelas empresas que empregam o sistema em seus servidores. Mas ainda não se sabe até que ponto essa exposição foi explorada por criminosos capazes de se aproveitar dos dados que já estão disponíveis dentro do servidor.
Não, por enquanto. Até porque os dados já estavam lá em casa de invasão e mudar seu acesso ao sistema vulnerável não implica em mudança nenhuma, sem contar que o fluxo de muitos usuários desenvolvendo está mesma atividade pode agravar o problema.
Você pode usar esta ferramenta para conferir se os seus dados estão vulneráveis com o bug. Lembrando que o bug afeta as versões 1.0.1 ou 1.0.2-versões beta do OpenSSL, que vem com muitas versões do Linux. E já existe uma atualização para reparar o problema.
No próprio site da organização e nesta página que descreve todo o processo de descoberta do bug, medidas necessárias e versões em risco.
"Golpe do @", o novo golpe descoberto com o dfndr security já tem mais de…
Empresa foi convidada a colaborar na construção do relatório “O impacto e futuro da Inteligência…
Conheça o novo golpe que se aproveita do maior evento esportivo do mundo
Modalidade de phishing se tornou a campeã de detecções em 2022, acumulando mais de 5…
Golpe do Auxílio, criminosos estão utilizando indevidamente o nome do programa e prometem transferência em…
Presente nas principais redes sociais, perfis do ‘Robô do PIX’ induzem pessoas a acessarem links…