“Heartbleed”, un bug nel protocollo di criptaggio OpenSSL, usato nei due terzi dei server mondiali, metterebbe a rischio milioni di siti web e i relativi dati privati degli utenti contenuti in essi: a lanciare l’allarme è un gruppo di ricercatori finlandesi di una società di sicurezza di Saratoga e un ingegnere di Google Security.
La falla, presente dalla versione 1.0.1 fino alla 1.0.1f (e sembra anche nella 1.0.2-beta) risiede nella sezione “heatbeat” dei protocolli TSL di OpenSSL e sembra essere in giro già da marzo 2012.
Per comprendere meglio la gravità del bug, come spiega il New York Times, basti pensare che “si è rotto quella sorta di lucchetto (riconoscibile con la sigla “https”) che garantisce la protezione delle informazioni più sensibili di chiunque navighi sul web”. Gli hacker che l’hanno già sfruttato, potrebbero inoltre aver carpito le informazioni e i dati senza aver lasciato nessuna traccia.
È stata comunque rilasciata la versione OpenSSL 1.0.1g, mirata a risolvere la falla in questione: ciò nonostante, i siti che potrebbero essere stati violati silenziosamente sono tanti, tra cui quelli del colosso Yahoo! e dunque Yahoo! Mail, Tumblr, Flickr:
Do not login to Yahoo! The OpenSSL bug #heartbleed allows extraction of usernames and plain passwords! pic.twitter.com/OuF3FM10GP
— Mark Loman (@markloman) 8 Aprile 2014