Heartbleed, bug nel sistema di sicurezza OpenSSL: a rischio milioni di password, carte di credito e dati sensibili

Allarme in rete. Milioni di password, carte di credito e altri dati sensibili sul web sono a rischio da ben due anni a causa di una falla nel sistema di crittografia “OpenSSL”, utilizzato da due terzi dei server di milioni di siti internet per proteggere le transazioni commerciali, le comunicazioni riservate e altri contenuti che dovrebbero rimanere inaccessibili.

E facile riconoscere quali siano i siti che si appoggiano a questo sistema: si tratta di tutti quei siti che nella barra di navigazione, prima dell’indirizzo url, presentano la sigla “https“, precededuta da un’icona con lucchetto. Lucchetto che sta appunto ad indicare la “sicurezza” di un sito per la quale avviene la trasmissione di dati sensibili.

Secondo il New York Times sono appunto milioni i siti che si appoggiano al servizio di sicurezza OpenSS, ma non è possibile sapere se e quanti dati sono stati sottratti. Questo perchè questa falla permetteva agli hacker di rubare le informazioni criptate senza lasciare alcuna traccia del loro operato.

Sfruttando il bug, dunque, gli hacker potrebbero ad esempio aver ottenuto password e dati di carte di credito, potrebbero essere penetrati nelle caselle di posta elettronica, potrebbero aver avuto accesso ai testi di chat private e, addirittura, potrebbero anche essere entrati in possesso di dati sanitati.

Logo “Heartbleed”

Impossibile sapere se qualcuno avesse già scoperto il bug, che prende il nome di Heartbleed, e ne avesse approfittato: l’unica cosa da fare è cercare di porre rimedio aggiornando il software che ripristina la sicurezza del protocollo.

Il bug è stato scoperto da un gruppo di ricercatori finlandesi che lavorano per Codenomicon, società di sicurezza informatica di Saratoga, in California, e da due esperti della sicurezza di Google.

Come dicevamo, non è ancora chiaro quanti e quali siano i siti internet interessati dal problema. Tra i server colpiti potrebbero esserci anche quelli di giganti del web, come Yahoo! e il suo social media Tumblr, e poi Flickr e Oculus. Ma non si esclude che in passato siano stati affetti dal bug tutti i colossi della rete: da Facebook a Google, da Wikipedia ad Amazon, da Twitter ad Apple fino a Microsoft.

Un portavoce di Yahoo! ha confermato che il servizio di posta elettronica Yahoo! Mail era vulnerabile, ma ha aggiunto che è stato rimesso a punto insieme ad altri servizi come Yahoo! Search, Flickr e Tumblr.

Facebook, invece, fa sapere di aver attivato un potenziamento della protezione nell’ambito del sistema OpenSSL prima che il problema del bug Heartbleed fosse reso noto. Nella nota ufficiale si legge anche che attualmente il social network non ha rilevato nessuna attività sospetta sugli account delle persone e continua a monitorare la situazione molto attentamente.

Cosa bisognerebbe fare a questo punto? Anzitutto gli esperti fanno sapere che da lunedì scorso è disponibile un update dell’OpenSSL immune dal problema, ma ogni sito dovrà aggiornare all’ultima versione.

L’onere principale spetta alle aziende colpite, che dovrebbero avvertire gli utenti del problema e prendere le dovute contromisure.

Ma questo non basta. Gli esperti, infatti, raccomandano agli utenti di cambiare le password dei siti interessati, perchè qualcosa potrebbe essere stato sottratto. Ma questo, torniamo a ribadirlo, non possiamo appunto saperlo con certezza perchè ogni eventuale attacco non avrebbe lasciato traccia.

Le autorità statunitensi, intanto, hanno chiesto alle imprese di verificare se i propri server utilizzano versioni vulnerabili di OpenSSL.

Qui di seguito, intanto, ecco un elenco, compilato da Cnet, della situazione sui principali siti basati sulla tecnologia OpenSSL, con relativo status.

Google      –     Falla risolta. Raccomandato cambio password
Facebook  –     Falla risolta. Raccomandato cambio password
Instagram  –     Falla risolta. Raccomandato cambio password
YouTube    –     Falla risolta. Raccomandato cambio password
Yahoo!      –     Falla risolta. Raccomandato cambio password
Amazon    –     Non era vulnerabile
Wikipedia  –     Falla risolta. Raccomandato cambio password
LinkedIn     –   Non era vulnerabile
eBay     –         Non era vulnerabile
PayPal    –       Non era vulnerabile
Twitter    –      Non era vulnerabile
Chase     –       Non era vulnerabile
CNET     –        Non era vulnerabile
CBSSports   –   Non era vulnerabile
Blogspot    –    Falla risolta. Raccomandato cambio password
Bing     –         Falla risolta. Raccomandato cambio password
Live     –         Falla risolta. Raccomandato cambio password
Pinterest    –   In attesa di risposta
Tumblr    –     Falla risolta. Raccomandato cambio password
Wordpress    –     In attesa di risposta
Imgur    –       In attesa di risposta
MSN     –       Falla risolta. Raccomandato cambio password
Microsoft   –    Falla risolta. Raccomandato cambio password
Flickr    –     Falla risolta. Raccomandato cambio password
Blogger    –     Falla risolta. Raccomandato cambio password
Googleusercontent.com    –    Falla risolta. Raccomandato cambio password
Feedbin    –   Falla risolta. Raccomandato cambio password
Pinboard     –     Falla risolta. Raccomandato cambio password
GetPocket     –     Falla risolta. Raccomandato cambio password
Wellsfargo     –   In attesa di risposta
Imgur    –   In attesa di risposta
Huffington Post    –   In attesa di risposta
Reddit       –   In attesa di risposta
Netflix        –   In attesa di risposta
Weather.com    –   In attesa di risposta
IMDb    –   In attesa di risposta
Yelp    –   In attesa di risposta

✰✬✰✬✰✬✰✬✰✬✰✬✰✬✰✬✰✬✰✬✰✬✰✬

Seguite Eticamente sulla Fanpage di Facebook, su Pinterest e su Twitter e non dimenticate di iscrivervi alla newsletter!

Daniela Bella

Vuoi ricevere i nuovi articoli di EticaMente comodamente nella tua casella email?

Iscriviti alla Newsletter di EticaMente
avatar Articolo scritto da Daniela Bella il 11/04/2014
Categoria/e: Notizie, Primo piano.



Newsletter di EticaMente

Ricevi le nostre Notizie nella tua E-Mail


SpotLight

Favole e Fantasia
Accedi | Copyright 2010-2017 Eticamente.net è un progetto CiancioLab sas WebAgency - Partita IVA 04201560655