Uma falha recém descoberta num programa que deveria fornecer proteção extra para sites expôs informações altamente sensíveis como: números de cartões de crédito, nomes de usuário e senhas de milhões de pessoas em todo o mundo. Mais de dois terços dos sites existentes se baseiam na tecnologia afetada.
O bug foi encontrado no OpenSSL, um protocolo de criptografia muito empregado para codificar dados sensíveis quando eles trafegam entre servidores que é um dos mais usados pelos grandes sites. Diversas empresas de internet estão recomendando aos usuários que troquem suas senhas de acesso.
Na maioria das vezes que os usuários vêem o ícone de um cadeado no navegador, isso significa que aquele site utiliza OpenSSL (veja imagem abaixo). O bug chamado de Heartbleed foi descoberto por pesquisadores da Google e da pequena empresa de segurança Codenomicon e permitiria a criminosos acessar remotamente dados confidenciais, inclusive senhas e chaves de segurança.
Várias empresas estão orientando os usuários a trocar a senha, mas é importante que o usuário aguarde até que o site comunique que o bug foi corrigido. Um exemplo é a plataforma de blogs Tumblr, da Yahoo, que já emitiu o alerta para a troca dos dados. Fazer a alteração antes da correção é inútil, pois a falha continuará expondo a nova senha.
Bug já foi corrigido mas dados podem ter sido roubados
Já foram liberadas atualizações que corrigem o bug no OpenSSL. O problema é que mesmo nos casos onde o site não esteja vulnerável, é possível que as senhas dos usuários e outras informações tenham sido coletadas pelos hackers no passado. Por isso, a recomendação das empresas para a mudança de senha.
O bug não deixa rastros e é impossível saber quem teve os dados violados. Especialistas que milhares de servidores de web e de e-mail precisam ser corrigidos o mais rapidamente possível. Principalmente agora que a falha foi divulgada e os criminosos virtuais poderão tentar aproveitar as vulnerabilidades.
Dezenas de sites com Google, Facebook, PayPal e Amazon disseram que já terem consertado a falha ou já estão trabalhando para resolver a questão.
De qualquer forma, quem não quiser correr riscos, deve trocar as senhas assim que os sites que utiliza comunicarem a correção.
