Descoberta esta semana, falha Heartbleed compromete uma das ferramentas de criptografia mais usadas pelos sites da internet
BOSTON e RIO -
Diversas empresas de internet estão recomendando a seus usuários que troquem suas senhas de acesso, depois da descoberta daquela que especialistas classificam de uma das mais graves falhas de segurança dos últimos anos.
O bug, encontrado em uma das tecnologias de criptografia mais usadas na web, torna vulneráveis a roubo por hackers dados armazenados em vários dos principais sites do mundo.
Descoberta por pesquisadores da Google e da pequena firma de segurança Codenomicon, a falha conhecida como Heartbleed fez com o Departamento de Segurança Nacional dos Estados Unidos pedisse às empresas que checassem seus servidores em busca de versões vulneráveis do software OpenSSL.
O OpenSSL é uma biblioteca open-source de protocolo de criptografia muito empregada para codificar dados sensíveis quando eles trafegam entre servidores.
Na maioria das vezes que os usuários vêem o ícone de um cadeado no navegador, isso significa que aquele site utiliza OpenSSL.
A falha no software permitiria a criminosos acessar remotamente dados confidenciais, inclusive senhas e chaves de segurança.
‘Em uma escala de 1 a 10, estamos em 11’
O especialista em segurança da informação Bruce Schneier, um dos mais influentes na internet, classificou a situação de “catastrófica”.
“Essa é a palavra certa.
Em uma escala de 1 a 10, estamos em 11”, escreveu Schneier em seu site.
A plataforma de blog Tumblr, da Yahoo, foi uma das companhias que incentivou seus usuários a mudar todas as suas senhas, sobretudo em serviços importantes como bancos on-line e e-mail.
Antes, o site de tecnologia Ars Technica havia informado que o pesquisador de segurança Mark Loman foi capaz de extrair dados de servidores do e-mail Yahoo Mail usando uma ferramenta gratuita.
Porta-voz da Yahoo confirmou que o Yahoo Mail era vulnerável ao ataque, mas disse que a falha já foi corrigida em seus servidores, o que teria tornado seguros também outros serviços como buscas, Yahoo Finanças, Yahoo Esportes, Flickr e o próprio Tumblr.
“Estamos trabalhando para implementar a correção no restante dos nossos sites”, disse a companhia, em nota, na noite de terça-feira.
“Nós testamos alguns dos nossos próprios servidores do ponto de vista do hackers e conseguimos atacá-los remotamente sem deixar rastro”, contou a Codenomicon no site Heartbleed.com, onde reúne informações sobre a descoberta.
Bug existe há 2 anos
Embora já tenham sido liberadas atualizações que corrigem o bug no OpenSSL, a Codenomicon observou que, mesmo que o site já não esteja vulnerável, é possível que as senhas dos usuários já tenham sido coletadas pelos hackers.
Nesse caso, o melhor a fazer é trocar as senhas, recomendou a companhia.
Mesmo assim, a troca da senha não servirá de nada se o site não atualizar seus servidores.
Como a Heartbleed não deixa rastros, especialistas em segurança concluíram que as vítimas jamais saberão se seus dados foram acessados - o que é preocupante, visto que, sabe-se agora, o bug já existe há cerca de dois anos.
- Se um site é vulnerável, o hacker consegue acessar informações como sua senha e seus dados bancários, os quais você pensa estar transmitindo de forma segura para o site - disse Michael Coates, diretor de segurança de produto da Shape Security.
Chris Eng, vice-presidente de pesquisa da firma de segurança de software Veracode, estima que centenas de milhares de servidores de web e de e-mail em todo o mundo precisam ser corrigidos o mais rapidamente possível.
Segundo ele, agora que a falha foi tornada pública, os hackers correrão para explorá-la.
Nenhum comentário:
Postar um comentário