Após falha de segurança, usuários devem trocar todas as senhas

A notícia mais alarmante da semana, no que se refere à internet, foi a descoberta do Heartbleed, brecha de segurança que permite que hackers roubem as senhas dos usuários em muitos sites da web e aplicativos móveis.

O Heartbleed (algo como hemorragia cardíaca) é uma falha no OpenSSL, protocolo de criptografia usado na internet para proteger informações sigilosas, como as senhas.

O Heartbleed foi descoberto pela empresa de segurança finlandesa Codenomicon. O Google, que ficou sabendo antes de outras empresas, avisou algumas delas sobre o problema antes de divulgar a informação para o público.

Como o OpenSSL é amplamente usado, o bug afetou milhares de serviços online. Na terça-feira, o hacker Mustafa Al-Bassam (de Londres, Inglaterra) testou os 10 mil sites de maior tráfego na web e descobriu que 1.260 deles tinham a falha.

A lista dos sites vulneráveis incluia desde serviços populares como Yahoo! e Flickr até sites de empresas de segurança, como a Kaspersky.

Al-Bassam verificou que, naquele momento, estavam seguros os sites do Google e da Microsoft, além dos brasileiros UOL, Terra, iG e Globo. O site da editora Abril, que inclui EXAME.com, também foi considerado seguro nesse teste.

Em bancos, é pouco provável que o bug cause problemas, já que os serviços financeiros tendem a usar múltiplas camadas de segurança (alguns, como o Itaú, empregam duas senhas e mais um sistema de token que usa códigos gerados dinamicamente).

Nos Estados Unidos, diversos bancos negaram que tenham sido afetados pela falha. Questionamos o Bradesco e o Itaú sobre o bug, por meio de suas assessorias de imprensa. Quando tivermos uma resposta, vamos atualizar este texto.

Já existe uma versão corrigida do OpenSSL. Muitas das empresas que usam esse protocolo (incluindo muitas que estão na lista de Al-Bassam) já atualizaram seus servidores. Algumas delas, como as responsáveis pelos apps IFTT e Wunderlist, enviaram mensagens aos usuários explicando a situação.

Mas a correção no servidor não resolve totalmente o problema. Embora a falha só tenha se tornado pública agora, ela existe há cerca de dois anos. Por isso, é possível que hackers já tenham utilizado essa brecha para roubar senhas.

Por causa desse risco, é recomendável trocar as senhas dos serviços online depois que as empresas tiverem corrigido a falha. Quem usa o navegador Chrome, do Google, pode instalar a extensão Chromebleed, que alerta quando se tenta entrar um site vulnerável.

Veja o que disseram algumas empresas da internet sobre o Heartbleed:

Facebook — Disse à ABC News que corrigiu o problema antes de ele se tornar público e que não detectou nenhuma atividade suspeita nos servidores. É recomendável trocar a senha.

Google — Afirma que já corrigiu a falha em serviços como Gmail, YouTube e Google Play. Também diz que smartphones com Android não foram afetados. Convém trocar sua senha.

Yahoo! — Segundo a ABC News, a empresa confirmou que foi atingida e diz que já corrigiu a falha. Troque a senha.

Twitter — Diz que não foi afetado pela falha.

LinkedIn — A rede de contatos profissionais disse ao site Mashable que não usa OpenSSL. Por isso, não foi atingida pelo Heartbleed.

Microsoft — Tem sua própria implementação do protocolo SSL, que não foi afetada pelo bug. Em princípio, sites como OneDrive, Hotmail/Outlook.com e Xbox Live estão seguros.

Tumblr — Confirmou que já corrigiu o problema no OpenSSL e diz que não encontrou indícios de que dados tenham sido roubados. É recomendável trocar a senha.

Amazon — Pelo que a empresa divulgou, sua loja online não foi afetada. Mas alguns dos serviços de computação em nuvem da Amazon podem ter sido atingidos. A empresa publicou um boletim com informações para empresas clientes.

PayPal — O serviço de pagamentos diz que as contas de usuários estão seguras.

Apple — Não divulgou nenhuma informação oficial até agora. Especialistas dizem que a Apple não usa a versão problemática do OpenSSL. Por isso, parece estar a salvo do Heartbleed.