Uma grave falha foi descoberta em um método chave de segurança da internet, o que está forçando vários sites a fazer mudanças para proteger seus consumidores.

O problema foi descoberto por uma equipe de especialistas em segurança de uma empresa finlandesa e pesquisadores do Google. Na tarde de terça-feira (08), dezenas de sites, incluindo Yahoo, Facebook, Google e Amazon Web Services, disseram já ter consertado ou estarem trabalhando na resolução do problema.

Pesquisadores ainda estão observando o impacto nos consumidores, mas alertaram que ele pode ser significativo. As informações mais sensíveis –senhas, documentos arquivados, dados bancários e números de documentos– podem ter ficado vulneráveis em função da falha. Isso não significa, porém, que os dados foram captados.

O conselho mais imediato dos especialistas em segurança para os consumidores é esperar ou pelo menos ter precaução antes de trocar suas senhas. Trocar uma senha em um site que não tenha tido a falha consertada poderia simplesmente entregar os dados diretamente aos hackers, por exemplo.

RECOMENDAÇÕES

A recomendação é que, antes de fazer qualquer mudança, os usuários chequem se o site possui algum anúncio de que tenha resolvido o problema.

"Esse é um bom lembrete de que existem vários riscos on-line e é importante manter o olho aberto sobre o que você está fazendo, assim como você faria no mundo físico", disse Zulfikar Ramzan, o chefe de tecnologia da Elastica, empresa de segurança.

A extensão da vulnerabilidade existente não ficou clara. Mais de dois terços dos websites existentes se baseiam na tecnologia afetada, chamada de OpenSSL.

No entanto algumas organizações aparentemente tomaram conhecimento da falha antecipadamente e já resolveram o problema na tarde de terça. Muitas outras ainda estão trabalhando para restaurar a segurança.

Em função de hackers poderem utilizar o bug para roubar informações não divulgadas, não está claro o quanto a falha foi explorada –apesar de ela ter existido por pelo menos dois anos. No Github, site utilizado por desenvolvedores para trocar códigos, alguns posts falavam sobre maneiras de usar o bug para descarregar informações de servidores.

Os pesquisadores de segurança finlandeses, trabalhando para a Codenomicon, uma companhia de segurança em Saratoga, e pesquisadores do Google encontraram a falha numa parte do protocolo OpenSSL –que encripta as sessões entre consumidores e websites– chamada "heartbeat" (batimento cardíaco, em português).

Os especialistas nomearam o bug de "Heartbleed" (sangramento no coração, em tradução literal).

"É uma falha séria que não deixa nenhum rastro", disse David Chartier, executivo chefe da Codenomicon. "Criminosos podem acessar a memória da máquina e pegar chaves encriptadas, nomes de usuário, senhas, propriedade intelectual valiosa e não haverá vestígios de que eles estiveram por lá."

OPEN SSL

As organizações foram aconselhadas a baixar imediatamente a nova versão do protocolo OpenSSL, que inclui uma solução para o problema e troca rapidamente suas chaves de encriptação. Além disso, também foi preciso que as empresas trocassem suas senhas corporativas e avisassem usuários para fazerem o mesmo.

As companhias começaram a produzir um inventário das informações que podem ter sido perdidas. Entretanto, como a falha poderia permitir que os criminosos roubassem as chaves que protegem a comunicação, senhas de usuários e qualquer dado gravado na memória vulnerável no servidor web, torna-se virtualmente impossível descobrir se o estrago foi realmente feito.

Pesquisadores de segurança disseram ter encontrado evidências que sugerem que os invasores estavam cientes da falha. Especialistas que monitoram vários "potes de mel" –esconderijos de dados falsos na web criados com o objetivo de atrair hackers para que os pesquisadores possam descobrir mais sobre suas ferramentas e técnicas– encontraram evidências de que os hackers tinham utilizado a falha "heartbleed" para acessar os dados falsos.

As vítimas reais podem não ter tanta sorte. "A menos que um criminoso o chantageie, ou publique sua informação on-line, ou roube um segredo e o utilize, você não saberá que foi atingido", disse Chartier. "Isso é o que o torna tão perverso".

Chartier aconselha aos usuários que considerem suas senhas comprometidas e pressionem as companhias a resolver o problema rapidamente. "As empresas precisam conseguir novas chaves encriptadas e os usuários precisam ter novas senhas", afirmou.

Pesquisadores em segurança disseram que é mais importante que as pessoas troquem suas senhas em contas importantes como o acesso on-line ao banco, e-mail, armazenamento de arquivos e contas de e-commerce, depois de terem certeza que o website tenha resolvido o problema na segurança.

TUMBLR

Empresas como Yahoo, Amazon e PayPal começaram a notificar seus usuários sobre a falha e o que estava sendo feito para resolvê-la. O Tumblr disse ter consertado os bugs e alertou os usuários a mudar imediatamente suas senhas.

"Isso ainda significa que o pequeno ícone (HTTPS) em que nós todos confiávamos para manter nossas senhas, e-mails pessoais e cartões de crédito a salvo estava na verdade deixando toda essa informação acessível a qualquer um que soubesse como consegui-la", escreveu em seu site a equipe de segurança do Tumblr.

"Este pode ser um bom dia para tirar um tempo para mudar suas senhas em todos os lugares –especialmente seus serviços de alta segurança como e-mail, armazenamento de arquivos e bancos, que podem ter sido comprometidos com essa falha."