A gravidade do bug Heartbleed está dando trabalho para inúmeros sites
e servidores. E, de acordo com a empresa de segurança Trend Micro,
dispositivos móveis também foram afetados pela ameaça.
A empresa afirma que smartphones são tão vulneráveis ao bug
Heartbleed quanto sites. Isso porque os aplicativos se conectam a
servidores e serviços web para completar várias funções, como o os apps
de bancos e lojas online, por exemplo, que permitem fazer pagamentos via
celular.
De acordo com o estudo da empresa, cerca de 390 mil aplicativos do
Google Play e cerca de 1,3 mil apps conectados a servidores vulneráveis
foram encontrados. Entre eles estão 15 aplicativos relacionados a
bancos, 39 a pagamentos online e 10 a compras online. Também foram
identificados problemas em apps de uso diário como mensagens
instantâneas e de saúde.
Sites afetados
Um teste realizado pelo serviço de web-hosting compartilhado Github
mostrou que mais de 600 dos principais 10 mil sites da web (com base em
rankings do Alexa) eram vulneráveis, incluindo Yahoo, Flickr, OkCupid e
Rolling Stone.
Um levantamento feito pelo Top Level Domain (TLD) mostra ainda que os
domínios com maior sites afetados foram da Coreia (.kr) e Japão (.jp),
com cerca de 5% do total. Os menos afetados foram os de Porto Rico (.pr)
e da França (.fr).
Proteção para usuários de Internet banking
De acordo com a empresa de segurança Vasco Data Security, o
Heartbleed faz com que dados sensíveis trocados com seus bancos via
Internet possam ter sido comprometidos. Por esse motivo, a primeira
coisa a se fazer é trocar as senhas, uma vez que elas podem ter sido
comprometidas.
Vale lembrar que isto só deve ser feito após o banco ter corrigido a
falha no OpenSSL e expedido novas chaves privadas e novos certificados,
pois de outro modo também as novas senhas podem ser acessadas
indevidamente no futuro.
Caso a sua instituição ainda não tenha corrigido o problema,
então não há muito o que fazer por enquanto, de acordo com a Trend
Micro. A recomendação, por ora, é deixar de lado as compras online e
também as operações financeiras por um tempo, incluindo as atividades
bancárias, até que os desenvolvedores de aplicativos liberem uma
atualização que esteja livre dessa vulnerabilidade.
Já os usuários que fazem seus acessos por senhas de uso único não
precisam se preocupar com o comprometimento de suas informações. A
natureza efêmera desse sistema assegura que a senha só pode ser
utilizada por um curto período de tempo, não sendo aproveitadas pelo
bug, segundo a Vasco Data Security.
Os bancos, por sua vez, devem, em primeiro lugar, verificar se as
suas aplicações de e-banking empregam a versão com falha do OpenSSL. As
versões Open SSL 1.0.1 até a 1.0.1f foram afetadas. Nesse caso, elas
devem imediatamente atualizar seus servidores com a versão mais recente.
Em segundo lugar, elas devem assumir que as suas chaves privadas
SSL/TLS podem estar comprometidas no caso de usaram versões afetadas do
Open SSL. Além disso, as instituições financeiras devem ser cautelosas e
substituir suas chaves existentes e os seus certificados por novos.
Por fim, devem verificar se dados sensíveis, como senhas de acesso,
trocadas com os usuários do e-banking foram comprometidos. Em caso
positivo, deve ser promovida a renovação dessas informações o mais
rapidamente possível.
Via: IDGNow
Nenhum comentário:
Postar um comentário