Foi revelada na \u00faltima segunda-feira uma falha grave no protocolo de criptografia OpenSSL, usado para encriptar boa parte da web. O bug, conhecido entre os especialistas como Heartbleed, permite a intercepta\u00e7\u00e3o de dados entre usu\u00e1rios e servi\u00e7os, possibilitando o roubo de informa\u00e7\u00f5es sens\u00edveis.<\/p>\n
O OpenSSL permite o uso da encripta\u00e7\u00e3o SSL (Secure Sockets Layer), respons\u00e1vel por botar o \u201cS\u201d em \u201cHTTPS\u201d, que indica um site seguro, e o TLS (Transporte Security Layer). Essas ferramentas s\u00e3o amplamente usadas na rede e por muitos sites grandes, incluindo o Yahoo!.<\/p>\n
O bug em quest\u00e3o possibilita recuperar dados armazenados no servidor em que est\u00e3o guardados registros importantes, como nomes de usu\u00e1rio, senhas e, principalmente, informa\u00e7\u00f5es banc\u00e1rias como cart\u00f5es de cr\u00e9dito. Uma pessoa com m\u00e1s inten\u00e7\u00f5es tamb\u00e9m pode copiar as chaves digitais do servidor para falsificar o site ou quebrar a criptografia de comunica\u00e7\u00f5es do passado e, potencialmente, do futuro tamb\u00e9m, segundo a CNET.<\/p>\n
Com o bug, o cibercriminoso pode recuperar blocos de 64 KB do servidor. Estes blocos s\u00e3o basicamente aleat\u00f3rios, ent\u00e3o n\u00e3o h\u00e1 como prever exatamente o que ele ir\u00e1 receber. O problema \u00e9 que mal-intencionado pode repetir o ataque v\u00e1rias vezes, aumentando a chance de encontrar dados sens\u00edveis e prejudiciais a usu\u00e1rios e empresas.<\/p>\n
A organiza\u00e7\u00e3o OpenSSL Project lan\u00e7ou uma atualiza\u00e7\u00e3o da biblioteca, que agora est\u00e1 na vers\u00e3o 1.0.1g. Assim, a falha no protocolo foi corrigida, mas \u00e9 necess\u00e1rio que as empresas apliquem as corre\u00e7\u00f5es. Outro poss\u00edvel problema \u00e9 que os sites afetados n\u00e3o notifiquem seus usu\u00e1rios de poss\u00edveis vazamentos, evitando que eles tomem medidas preventivas.<\/p>\n
Yahoo, Kickass.to, Flickr, XDA-Developers, Steam Community, Slate.com, HideMyAss e DuckDuckGo e 500px s\u00e3o alguns do sites famosos reconhecidamente vulner\u00e1veis. A lista completa, embora j\u00e1 desatualizada, pode ser conferida aqui<\/span><\/a><\/strong><\/span>. Se voc\u00ea \u00e9 usu\u00e1rio de algum deles, \u00e9 recomend\u00e1vel trocar de senha o mais r\u00e1pido poss\u00edvel.<\/p>\n