Notizie
Primo piano

Heartbleed, bug nel sistema di sicurezza OpenSSL: a rischio milioni di password, carte di credito e dati sensibili

Di Daniela Bella - 11 Aprile 2014

Allarme in rete. Milioni di password, carte di credito e altri dati sensibili sul web sono a rischio da ben due anni a causa di una falla nel sistema di crittografia “OpenSSL”, utilizzato da due terzi dei server di milioni di siti internet per proteggere le transazioni commerciali, le comunicazioni riservate e altri contenuti che dovrebbero rimanere inaccessibili.

E facile riconoscere quali siano i siti che si appoggiano a questo sistema: si tratta di tutti quei siti che nella barra di navigazione, prima dell’indirizzo url, presentano la sigla “https“, precededuta da un’icona con lucchetto. Lucchetto che sta appunto ad indicare la “sicurezza” di un sito per la quale avviene la trasmissione di dati sensibili.

Secondo il New York Times sono appunto milioni i siti che si appoggiano al servizio di sicurezza OpenSS, ma non è possibile sapere se e quanti dati sono stati sottratti. Questo perchè questa falla permetteva agli hacker di rubare le informazioni criptate senza lasciare alcuna traccia del loro operato.

Sfruttando il bug, dunque, gli hacker potrebbero ad esempio aver ottenuto password e dati di carte di credito, potrebbero essere penetrati nelle caselle di posta elettronica, potrebbero aver avuto accesso ai testi di chat private e, addirittura, potrebbero anche essere entrati in possesso di dati sanitati.

Logo “Heartbleed”

Impossibile sapere se qualcuno avesse già scoperto il bug, che prende il nome di Heartbleed, e ne avesse approfittato: l’unica cosa da fare è cercare di porre rimedio aggiornando il software che ripristina la sicurezza del protocollo.

Il bug è stato scoperto da un gruppo di ricercatori finlandesi che lavorano per Codenomicon, società di sicurezza informatica di Saratoga, in California, e da due esperti della sicurezza di Google.

Come dicevamo, non è ancora chiaro quanti e quali siano i siti internet interessati dal problema. Tra i server colpiti potrebbero esserci anche quelli di giganti del web, come Yahoo! e il suo social media Tumblr, e poi Flickr e Oculus. Ma non si esclude che in passato siano stati affetti dal bug tutti i colossi della rete: da Facebook a Google, da Wikipedia ad Amazon, da Twitter ad Apple fino a Microsoft.

Un portavoce di Yahoo! ha confermato che il servizio di posta elettronica Yahoo! Mail era vulnerabile, ma ha aggiunto che è stato rimesso a punto insieme ad altri servizi come Yahoo! Search, Flickr e Tumblr.

Facebook, invece, fa sapere di aver attivato un potenziamento della protezione nell’ambito del sistema OpenSSL prima che il problema del bug Heartbleed fosse reso noto. Nella nota ufficiale si legge anche che attualmente il social network non ha rilevato nessuna attività sospetta sugli account delle persone e continua a monitorare la situazione molto attentamente.

Cosa bisognerebbe fare a questo punto? Anzitutto gli esperti fanno sapere che da lunedì scorso è disponibile un update dell’OpenSSL immune dal problema, ma ogni sito dovrà aggiornare all’ultima versione.

L’onere principale spetta alle aziende colpite, che dovrebbero avvertire gli utenti del problema e prendere le dovute contromisure.

Ma questo non basta. Gli esperti, infatti, raccomandano agli utenti di cambiare le password dei siti interessati, perchè qualcosa potrebbe essere stato sottratto. Ma questo, torniamo a ribadirlo, non possiamo appunto saperlo con certezza perchè ogni eventuale attacco non avrebbe lasciato traccia.

Le autorità statunitensi, intanto, hanno chiesto alle imprese di verificare se i propri server utilizzano versioni vulnerabili di OpenSSL.

Qui di seguito, intanto, ecco un elenco, compilato da Cnet, della situazione sui principali siti basati sulla tecnologia OpenSSL, con relativo status.

Google – Falla risolta. Raccomandato cambio password
Facebook – Falla risolta. Raccomandato cambio password
Instagram – Falla risolta. Raccomandato cambio password
YouTube – Falla risolta. Raccomandato cambio password
Yahoo! – Falla risolta. Raccomandato cambio password
Amazon – Non era vulnerabile
Wikipedia – Falla risolta. Raccomandato cambio password
LinkedIn – Non era vulnerabile
eBay – Non era vulnerabile
PayPal – Non era vulnerabile
Twitter – Non era vulnerabile
Chase – Non era vulnerabile
CNET – Non era vulnerabile
CBSSports – Non era vulnerabile
Blogspot – Falla risolta. Raccomandato cambio password
Bing – Falla risolta. Raccomandato cambio password
Live – Falla risolta. Raccomandato cambio password
Pinterest – In attesa di risposta
Tumblr – Falla risolta. Raccomandato cambio password
Wordpress – In attesa di risposta
Imgur – In attesa di risposta
MSN – Falla risolta. Raccomandato cambio password
Microsoft – Falla risolta. Raccomandato cambio password
Flickr – Falla risolta. Raccomandato cambio password
Blogger – Falla risolta. Raccomandato cambio password
Googleusercontent.com – Falla risolta. Raccomandato cambio password
Feedbin – Falla risolta. Raccomandato cambio password
Pinboard – Falla risolta. Raccomandato cambio password
GetPocket – Falla risolta. Raccomandato cambio password
Wellsfargo – In attesa di risposta
Imgur – In attesa di risposta
Huffington Post – In attesa di risposta
Reddit – In attesa di risposta
Netflix – In attesa di risposta
Weather.com – In attesa di risposta
IMDb – In attesa di risposta
Yelp – In attesa di risposta

✰✬✰✬✰✬✰✬✰✬✰✬✰✬✰✬✰✬✰✬✰✬✰✬
Seguite Eticamente sulla Fanpage di Facebook, su Pinterest e su Twitter e non dimenticate di iscrivervi alla newsletter!





Newsletter
Iscriviti alla nostra newsletter e ricevi subito una speciale meditazione in omaggio!




© 2022 Copyright De Agostini Editore - I contenuti sono di proprietà di De Agostini Editore S.p.a., è vietata la riproduzione. De Agostini Editore S.p.A. sede legale in via G. da Verrazano 15, 28100 Novara - Capitale sociale euro 50.000.000 i.v. - Codice fiscale ed iscrizione al Registro imprese di Novara n. 01689650032, REA di Novara 191951 Società aderente al "Gruppo IVA B&D Holding" Partita IVA 02611940038 28100 Novara - Società con Socio Unico, Società coordinata e diretta da De Agostini S.p.A. - Sede legale in via G. da Verrazano 15, 28100 Novara (Italia)