Nelle ultime ore sul web e sui principali media a notizia sta impazzando. I due terzi dei siti web mondiali sono stati compromessi a seguito di un bug che ha preso il nome di Heartbleed. E, neanche a dirlo, il bug ha potenzialmente messo a rischio i nostri dati riservati (credenziali di accesso, dati bancari, carte di credito, ecc.).
Il problema interessa i server web che fanno uso di OpenSSL, un sistema usato per la crittografia delle informazioni da circa due terzi dei server presenti sul web (parliamo di server basati su sistema operativo Linux in quando IIS di Microsoft è immune). Il grosso problema è che la falla esiste da due anni e non sappiamo se possa essere stata sfruttata già da tempo. La scoperta ufficiale infatti risale a pochi giorni fa.
Per gli utenti è necessario verificare che i siti web ai quali accedono siano sicuri (a tal proposito esiste un tool realizzato da un ragazzo italiano e disponibile qui). Se il sito risulta sicuro consiglio di accedere e modificare la password, poiché non è possibile sapere se fosse precedentemente affetto dal problema e quindi fosse stato attaccato. Se invece il sito risulta ancora colpito, consiglio di evitare l’accesso e di attendere la correzione del bug e la nuova emissione del certificato SSL da parte del gestore del sito. Una volta sistemato, accedere e cambiare la password.
In rete esistono delle liste di siti (i più blasonati) che indicano se questi siano stati esposti al bug e in che stato si trovino ora. Un elenco è reperibile qui.
Tra i servizi sicuramente più utilizzati ed esposti al bug spiccano i seguenti:
| Falla risolta – Necessario cambio password | |
| Falla risolta – Necessario cambio password | |
| Youtube | Falla risolta – Necessario cambio password |
| Yahoo! | Falla risolta – Necessario cambio password |
| Bing | Falla risolta – Necessario cambio password |
| Falla risolta – Necessario cambio password | |
| Blogspot | Falla risolta – Necessario cambio password |
| Falla risolta – Necessario cambio password | |
| Tumblr | Falla risolta – Necessario cambio password |
| WordPress | In attesa di risposta |
| Vimeo | Falla risolta – Necessario cambio password |
| Flickr | Falla risolta – Necessario cambio password |
| Blogger | Falla risolta – Necessario cambio password |
| Dropbox | Falla risolta – Necessario cambio password |
Personalmente io utilizzo un servizio di gestione delle password che si chiama LastPass. Questo servizio, nonostante sia stato esposto al bug, ha garantito la sicurezza dei dati in quanto OpenSSL non era l’unico sistema di sicurezza in uso. Ad oggi l’azienda ha messo a disposizione un ulteriore servizio che verifica se le credenziali memorizzate per l’accesso ai siti si riferiscano a server sicuri o meno, così da poter verificare se il servizio al quale si vuole accedere sia o meno compromesso.
Qualora i server siano compromessi è consigliato evitare di accedere, fino a correzione del bug. Una volta corretto accedere e cambiare immediatamente la password per evitare che un furto di dati avvenuto in precedenza possa compromettere le nostre informazioni.
Per dubbi, informazioni su come affrontare il problema o altro, contattatemi pure tramite la pagina Facebook, ovviamente dopo aver cambiato la password.
1 Comment