Ανακαλύφθηκε πριν από λίγες ημέρες ένα εξαιρετικά μεγάλο κενό ασφάλειας αφού εκτιμάται πως καθιστά ευάλωτες έως και 500.000 ιστοσελίδες. Το κενό ονομάστηκε Heartbleed και αφορά το λογισμικό OpenSSL, μέσω του οποίου ευαίσθητα δεδομένα διακινούνται κρυπτογραφημένα στους σέρβερ. Δεδομένα που, αξιοποιώντας το Heartbleed, θα μπορούσε να υποκλέψει οποιοσδήποτε χάκερ.
Το κενό επηρεάζει όλες τις ιστοσελίδες ή τις υπηρεσίες που βασίζονται στο OpenSSL για την κρυπτογράφηση των πληροφοριών των χρηστών τους. Σε αυτόν τον κατάλογο περιλαμβάνονται ενδεικτικά η φορολογική πλατφόρμα του καναδικού υπουργείου Οικονομικών, τα σάιτ της Deutsche Bank και του FBI, όπως και οι υπηρεσίες Flickr και Tumblr της Yahoo.
Σύμφωνα με την Google Security και τη φινλανδική Codenomicon, το πρόβλημα υπήρχε εδώ και άνω των δύο ετών. Εξαιτίας του ήταν δυνατή η υποκλοπή των «κλειδιών» online υπηρεσιών, με αποτέλεσμα να είναι δυνατή η υποκλοπή ονομάτων και κωδικών χρηστών, καθώς και η δημιουργία ψεύτικων ιστοσελίδων που φαίνονταν αυθεντικές επειδή χρησιμοποιούσαν τους κλεμμένους κωδικούς.
Είναι αδύνατον να διαπιστωθεί αν κυβερνοεγκληματίες εκμεταλλεύτηκαν το κενό ασφαλείας σε ευάλωτα σάιτ όπως το παραπάνω, στα χρόνια που μεσολάβησαν.
Αρκετές ιστοσελίδες και online πλατφόρμες έχουν ήδη αντικαταστήσει την έκδοση του OpenSSL που χρησιμοποιούσαν με μια αναβαθμισμένη και ασφαλή παραλλαγή. Μάλιστα, ανακοινώνοντας την αναβάθμιση, το Tumblr συνέστησε στους χρήστες του να αλλάξουν κωδικούς πρόσβασης οπουδήποτε «εμπιστεύονται» ευαίσθητα δεδομένα – όπως στις υπηρεσίες e-mail, web banking ή cloud storage.
Ο developer και σύμβουλος κρυπτογράφησης Φιλίπο Βαλσόρντα ανέπτυξε ένα εργαλείο το οποίο επιτρέπει στους χρήστες να ελέγξουν ιστοσελίδες για το αν είναι τρωτές λόγω Heartbleed.
Από την άλλη μεριά, άλλοι ειδικοί υποστηρίζουν πως δεν θα πρέπει κανείς να βιαστεί, αφού θα χρειαστεί να περάσουν μερικά 24ωρα ακόμη, πριν όλες οι υπηρεσίες που χρησιμοποιεί έχουν όντως αναβαθμισθεί στην ασφαλή έκδοση του OpenSSL. «Αν μια ιστοσελίδα εξακολουθεί να χρησιμοποιεί την παραλλαγή του OpenSSL με το Heartbleed, τότε ο χρήστης καθιστά ευάλωτο τόσο το παλιό όσο και το νέο password», αναφέρει χαρακτηριστικά στον Guardian o Mark Schoessler από τη Rapid7.
