Especialistas em segurança alertaram que há pouco que os internautas possam fazer para protegerem-se da recente ameaça “Heartbleed”, que expõe dados de usuários a invasores, pelo menos até que os sites vulneráveis tomem medidas para garantir a segurança das suas comunicações.
O bug Heartbleed, que ocorre na amplamente usada criptografia para a Web conhecida como OpenSSL, afeta softwares de servidores que hospedam websites. Esse software não é usado em computadores pessoais ou dispositivos móveis, então, mesmo que o bug exponha senhas e outros dados acessados nesses aparelhos a hackers, é necessário que seja consertado pelos operadores do site.
“Não há nada que os usuários possam fazer para consertar seus computadores. Eles têm que recorrer aos administradores dos sites que utilizam”, disse Mikko Hypponen, vice-presidente de pesquisas da fabricante de software F-Secure, de Helsinki, na Finlândia.
O bug tem o potencial de afectar usuários de alguns dos maiores sites do mundo, já que a OpenSSL é usada em cerca de dois terços de todos os servidores de Internet e o bug permaneceu sem ser notado por cerca de dois anos.
Ele pode levar ao roubo de senhas, comunicações confidenciais, número de cartão de crédito e outros dados privados. “Em uma escala de 1 a 11, está em cerca de 11”, disse o especialista em criptografia Bruce Schneier, diretor de tecnologia da Co3 Systems, sobre a gravidade do bug.
Ele encorajou as empresas de Internet a emitirem novos certificados e chaves usados para a criptografia de tráfego de Internet com navegadores de Web incluindo Firefox, Internet Explorer, da Microsoft e Google Chrome, do Google.
Representantes do Google, Yahoo e Facebook disseram à Reuters que usam OpenSSL e que já tomaram medidas para mitigar quaisquer impactos para os usuários. A descoberta da vulnerabilidade Heartbleed, por pesquisadores do Google e da Codenomicon, uma pequena empresa de segurança, levou o Departamento de Segurança Interna norte-americano a alertar empresários a revisar seus servidores para verificar se estes utilizam versões vulneráveis do OpenSSL.
