Ontem à noite, nós, como quase todos os outros sites da Internet, publicamos uma matéria sobre o bug de segurança do OpenSSL, muito grande e perigoso, chamado Heartbleed. O bug deixa grandes partes da Internet abertas para que hackers maliciosos roubem as chaves de login, cartão de crédito e criptografia. Essencialmente, os sites que achavam que estavam protegendo os dados do usuário por meio de criptografia não o faziam, por culpa própria, por mais de dois anos.
O potencial de dano é que os dados criptografados e as chaves de criptografia para desbloquear esses dados poderiam ter
foi roubado de servidores. Seus dispositivos não são afetados diretamente. O software e os serviços que você usa podem se conectar a servidores que poderiam ter sido afetados ao expor seus dados. O bug Heartbleed não deixa nenhum rastreio nos logs, então não há como recuar e dizer se um site foi afetado ou não. Novas informações hoje dizem que mais de 500.000 servidores foram afetados.
Um patch foi emitido, mas os usuários da Internet estão sendo avisados para tomar precauções e trocar senhas ou estarem preparados para isso. Há um não oficial lista de sites afetados e sites não afetados postados no GitHub. Há também um verificador de site onde você pode inserir as informações de um site para testar se ele é afetado ou não.
O Yahoo, o OKCupid, o Ars Technica e o Tumblr notificaram os usuários para tomarem precauções e trocarem as senhas depois de corrigir seus sites. Embora eu não tenha recebido nenhum email pessoalmente do Yahoo.
O que você pode fazer para evitar Heartbleed?
- Analise a lista não oficial de sites que você pode visitar. Certamente não é uma lista exaustiva.
- Evite fazer logon em sites afetados até que um todo claro tenha sido publicado.
- Entre em contato com empresas (como bancos) que você usa e pergunte se elas foram afetadas e para ser notificado quando as coisas ficarem claras novamente.
- Prepare-se para alterar suas credenciais de login. Mas não faça alterações até que um site tenha sido corrigido. Você deve dar prioridade a contas de e-mail e contas bancárias e financeiras.
- Se você estiver executando o navegador Google Chrome, instale o Chromebleed Checker. A extensão é executada em segundo plano e exibirá um alerta se um site for afetado. GottaBeMobile.com não é afetado.
- Preste atenção às contas financeiras nas próximas semanas ou mais para observar qualquer atividade incomum.
Como sempre, tome as precauções que achar necessárias. Geralmente, esses tipos de histórias se desdobram ao longo de um período e publicaremos as atualizações da forma como as publicamos. Há boa leitura no Bug Heartbleed, OpenSSL e mais aqui e aqui.