Publicado : terça-feira, 8 de abril de 2014
22:40
Por Unknown
Falha grave compromete grandes sites; veja quais são vulneráveis
Foi revelada na última segunda-feira uma falha grave no protocolo de criptografia OpenSSL, usado para encriptar boa parte da web. O bug, conhecido entre os especialistas como Heartbleed, permite a interceptação de dados entre usuários e serviços, possibilitando o roubo de informações sensíveis.
O OpenSSL permite o uso da encriptação SSL (Secure Sockets Layer), responsável por botar o “S” em “HTTPS”, que indica um site seguro, e o TLS (Transporte Security Layer). Essas ferramentas são amplamente usadas na rede e por muitos sites grandes, incluindo o Yahoo!.
O bug em questão possibilita recuperar dados armazenados no servidor em que estão guardados registros importantes, como nomes de usuário, senhas e, principalmente, informações bancárias como cartões de crédito. Uma pessoa com más intenções também pode copiar as chaves digitais do servidor para falsificar o site ou quebrar a criptografia de comunicações do passado e, potencialmente, do futuro também, segundo a CNET.
Com o bug, o cibercriminoso pode recuperar blocos de 64 KB do servidor. Estes blocos são basicamente aleatórios, então não há como prever exatamente o que ele irá receber. O problema é que mal-intencionado pode repetir o ataque várias vezes, aumentando a chance de encontrar dados sensíveis e prejudiciais a usuários e empresas.
A organização OpenSSL Project lançou uma atualização da biblioteca, que agora está na versão 1.0.1g. Assim, a falha no protocolo foi corrigida, mas é necessário que as empresas apliquem as correções. Outro possível problema é que os sites afetados não notifiquem seus usuários de possíveis vazamentos, evitando que eles tomem medidas preventivas.
Yahoo, Kickass.to, Flickr, Redtube, XDA-Developers, Steam Community, Slate.com, HideMyAss e DuckDuckGo e 500px são alguns do sites famosos reconhecidamente vulneráveis. A lista completa, embora já desatualizada, pode ser conferida aqui. Se você é usuário de algum deles, é recomendável trocar de senha o mais rápido possível.
O OpenSSL permite o uso da encriptação SSL (Secure Sockets Layer), responsável por botar o “S” em “HTTPS”, que indica um site seguro, e o TLS (Transporte Security Layer). Essas ferramentas são amplamente usadas na rede e por muitos sites grandes, incluindo o Yahoo!.
O bug em questão possibilita recuperar dados armazenados no servidor em que estão guardados registros importantes, como nomes de usuário, senhas e, principalmente, informações bancárias como cartões de crédito. Uma pessoa com más intenções também pode copiar as chaves digitais do servidor para falsificar o site ou quebrar a criptografia de comunicações do passado e, potencialmente, do futuro também, segundo a CNET.
Com o bug, o cibercriminoso pode recuperar blocos de 64 KB do servidor. Estes blocos são basicamente aleatórios, então não há como prever exatamente o que ele irá receber. O problema é que mal-intencionado pode repetir o ataque várias vezes, aumentando a chance de encontrar dados sensíveis e prejudiciais a usuários e empresas.
A organização OpenSSL Project lançou uma atualização da biblioteca, que agora está na versão 1.0.1g. Assim, a falha no protocolo foi corrigida, mas é necessário que as empresas apliquem as correções. Outro possível problema é que os sites afetados não notifiquem seus usuários de possíveis vazamentos, evitando que eles tomem medidas preventivas.
Yahoo, Kickass.to, Flickr, Redtube, XDA-Developers, Steam Community, Slate.com, HideMyAss e DuckDuckGo e 500px são alguns do sites famosos reconhecidamente vulneráveis. A lista completa, embora já desatualizada, pode ser conferida aqui. Se você é usuário de algum deles, é recomendável trocar de senha o mais rápido possível.