Falha de segurança em programa de criptografia de informação abre brechas para hackers obterem senhas e dados sigilosos de internautas, no que já está sendo considerado um dos maiores bugs da história da web
notícia0comentários
ImprimirAumentar textoDiminuir texto
Heartbleed é o nome dado ao bug, e sua representação gráfica é este coração sangrando
Se você tem uma conta no Google, Facebook, Yahoo! ou Dropbox é melhor mudar suas senhas de acesso o quanto antes. Um bug descoberto esta semana comprometeu o OpenSSL, um dos mais populares acervos de criptografia usado para embaralhar informações sensíveis passadas de um computador para outro. A estimativa é que dois em cada três servidores tenham sido afetados.
O megabug, chamado Heartbleed, permite aos que atacam o programa obter as senhas e outras informações da memória dos computadores como dados bancários, advertem especialistas do grupo de defesa cibernética Fox-IT.
O OpenSSL é usado para proteger senhas, números de cartões de crédito e outros dados transmitidos pela internet. “Não há limites para o número de ataques que podem ser realizados”, adverte Fox-IT em um blog, no qual detalha os passos necessários para que as empresas neutralizem o risco.
Os alvos incluem códigos de fonte, senhas e keys, os quais podem ser usados para simular sites, ou desbloquear informação codificada.
Para o especialista em segurança da informação Bruce Schneier, um dos mais influentes na web, a situação é “catastrófica”. “Esta é a palavra certa. Em uma escala de 1 a 10, estamos em 11”, afirmou Schneier em seu site.
A descoberta do Heartbleed foi feita pelo Google e pela empresa finlandesa Codenomicon, que publicou e mantém no ar um site com informações e detalhes técnicos sobre a falha no OpenSSL. É possível acessar essas informações (em inglês) no endereço http://heartbleed.com.
De acordo com especialistas, a brecha na segurança do OpenSSL permitiria a hackers acessar remotamente dados confidenciais, inclusive senhas e chaves de segurança. Os próprios técnicos da Codenomicon afirmam no site Heartbleed que testaram a brecha causada pelo bug e confirmaram a sua eficácia.
“Nós testamos alguns dos nossos próprios serviços do ponto de vista do hacker. Nós atacamos a nós mesmos de fora, sem deixar rastro. Sem o uso de qualquer informação privilegiada ou credenciais pudemos roubar de nós mesmos as chaves secretas usadas para os nossos certificados X.509, nomes de usuário e senhas, mensagens instantâneas, emails e documentos de negócios e comunicação”, informam no site.
Vulnerabilidade
As atualizações para correção da falha no OpenSSL já foram liberadas. No entanto, os especialistas do Codenomicon alertam para a possibilidade de que as senhas dos usuários já tenham sido coletadas pelos hackers enquanto o site esteve vulnerável.
A solução mais segura para o usuário é mudar suas senhas imediatamente, mesmo assim, é preciso que o site atualize seus servidores.
Entre as empresas que notificaram seus usuários sobre o megabug estão a Yahoo!, Amazon, PayPal e Tumblr. O Facebook disse, em comunicado oficial, que não detectou nenhum problema, mas recomendou a seus usuários a mudança de senha.
Recomendação idêntica fizeram o Pinterest, o Dropbox e o Minecraft. O Google anunciou, também em comunicado, que já consertou a falha. “A segurança das informações dos usuários é prioridade máxima. Nós consertamos o bug rapidamente e os usuários Google não precisam trocar suas senhas”, minimizou.
Um pesquisador do Laboratório de Informática da Universidade de Cambridge, ouvido pela BBC, disse que seria exagerado dizer que todos deveriam parar com tudo para substituir suas senhas, mas que seria algo prudente a fazer, afinal trata-se de uma medida simples e que pode evitar transtornos futuros (com agências de notícias).
O megabug, chamado Heartbleed, permite aos que atacam o programa obter as senhas e outras informações da memória dos computadores como dados bancários, advertem especialistas do grupo de defesa cibernética Fox-IT.
O OpenSSL é usado para proteger senhas, números de cartões de crédito e outros dados transmitidos pela internet. “Não há limites para o número de ataques que podem ser realizados”, adverte Fox-IT em um blog, no qual detalha os passos necessários para que as empresas neutralizem o risco.
Os alvos incluem códigos de fonte, senhas e keys, os quais podem ser usados para simular sites, ou desbloquear informação codificada.
Para o especialista em segurança da informação Bruce Schneier, um dos mais influentes na web, a situação é “catastrófica”. “Esta é a palavra certa. Em uma escala de 1 a 10, estamos em 11”, afirmou Schneier em seu site.
A descoberta do Heartbleed foi feita pelo Google e pela empresa finlandesa Codenomicon, que publicou e mantém no ar um site com informações e detalhes técnicos sobre a falha no OpenSSL. É possível acessar essas informações (em inglês) no endereço http://heartbleed.com.
De acordo com especialistas, a brecha na segurança do OpenSSL permitiria a hackers acessar remotamente dados confidenciais, inclusive senhas e chaves de segurança. Os próprios técnicos da Codenomicon afirmam no site Heartbleed que testaram a brecha causada pelo bug e confirmaram a sua eficácia.
“Nós testamos alguns dos nossos próprios serviços do ponto de vista do hacker. Nós atacamos a nós mesmos de fora, sem deixar rastro. Sem o uso de qualquer informação privilegiada ou credenciais pudemos roubar de nós mesmos as chaves secretas usadas para os nossos certificados X.509, nomes de usuário e senhas, mensagens instantâneas, emails e documentos de negócios e comunicação”, informam no site.
Vulnerabilidade
As atualizações para correção da falha no OpenSSL já foram liberadas. No entanto, os especialistas do Codenomicon alertam para a possibilidade de que as senhas dos usuários já tenham sido coletadas pelos hackers enquanto o site esteve vulnerável.
A solução mais segura para o usuário é mudar suas senhas imediatamente, mesmo assim, é preciso que o site atualize seus servidores.
Entre as empresas que notificaram seus usuários sobre o megabug estão a Yahoo!, Amazon, PayPal e Tumblr. O Facebook disse, em comunicado oficial, que não detectou nenhum problema, mas recomendou a seus usuários a mudança de senha.
Recomendação idêntica fizeram o Pinterest, o Dropbox e o Minecraft. O Google anunciou, também em comunicado, que já consertou a falha. “A segurança das informações dos usuários é prioridade máxima. Nós consertamos o bug rapidamente e os usuários Google não precisam trocar suas senhas”, minimizou.
Um pesquisador do Laboratório de Informática da Universidade de Cambridge, ouvido pela BBC, disse que seria exagerado dizer que todos deveriam parar com tudo para substituir suas senhas, mas que seria algo prudente a fazer, afinal trata-se de uma medida simples e que pode evitar transtornos futuros (com agências de notícias).
Nenhum comentário:
Postar um comentário
Obrigada pela visita, indique aos amigos.