Seleziona una pagina

Introdotto nelle librerie OpenSSL nel dicembre del 2011, il bug, denominato “heartbleed”, è rimasto presente in quello che si stima essere circa il 17% della rete globale per oltre 3 anni, seppur in sordina.

Qualche giorno fa, tuttavia, Neel Mehta, ingegnere addetto alla sicurezza di Google, insieme a tre ingegneri di Codenomicon, si è accorto del pericoloso bug che, ad oggi, avrebbe interessato oltre mezzo milione di utenti in tutto il mondo ed ha lanciato l’allerta.

Il pericolo non è ancora cessato, ed al momento sistemi di sicurezza internazionali come CloudFlare e Cisco stanno conducendo dei test per appurare la reale entità del problema. Il micidiale bug, infatti, ha reso chiaro come il sole che OpenSSL, software adoperato per la criptazione dei dati, non è stato in grado di proteggere quegli stessi dati che dovrebbe mettere al sicuro. Avete presente quel lucchetto che compariva accanto all’URL del sito “delicato” che stavate visitando e che doveva significare che la vostra navigazione fosse sicura? Ecco, quel lucchetto in realtà era aperto da oltre 2 anni e mezzo.

La cosa che più stupisce è che una falla dai risvolti così gravi e quasi tragici (chiunque fosse a conoscenza del bug avrebbe potuto adoperarlo per fare uno 0-day attack di proporzioni faraoniche e virtualmente fare seri danni all’intera rete globale) sia rimasta nell’ombra per così tanto tempo. Non si ha idea di chi abbia potuto fare cosa in questi due lunghi anni ed oltre.

C’è chi ha persino immaginato che dietro  questa falla gravissima potesse esserci l’NSA, che ha subito rimandato al mittente le accuse.

Una patch è subito stata rilasciata dal team di sviluppo di OpenSSL, ma per farsi una piccola idea dello tsunami che ha colpito la rete, ecco di seguito i servizi o i siti più famosi colpiti dal bug:

I seguenti software sono stati affetti dal bug:

Anche Tech Scene (hostato su AlterVista, che ha prontamnte aggiornato alcune librerie affette dal bug) è stato soggetto al bug che, dopo la sua scoperta e verifica, è stato prontamente fixato.

Di seguito una lista completa di siti e servizi affetti dal bug per i quali si consiglia o meno un cambio di password (si ringrazia mashable.com da cui è stata effettuata una traduzione; vietata la riproduzione). Tutti i sottositi, minisiti e sottodomini interessati si intendono INCLUSI:

Social Networks

e’ stato colpito? C’è una patch? Occorre cambiare la propria password?
Facebook Non chiaro Si Si
Instagram Si Si Si
LinkedIn No No No
Pinterest Si Si Si
Tumblr Si Si Si
Twitter No Si Non chiaro

Altre società

E’ STATO COLPITO? C’È UNA PATCH? OCCORRE CAMBIARE LA PROPRIA PASSWORD?
Apple No No No
Amazon No No No
Google Si Si Si
Microsoft No No No
Yahoo Si Si Si

Email

E’ STATO COLPITO? C’È UNA PATCH? OCCORRE CAMBIARE LA PROPRIA PASSWORD?
AOL No No No
Gmail Si Si Si
Hotmail / Outlook No No No
Yahoo Mail Si Si Si

E-Commerce

E’ STATO COLPITO? C’È UNA PATCH? OCCORRE CAMBIARE LA PROPRIA PASSWORD?
Amazon No No No
Amazon Web Services Si Si Si
eBay No No No
Etsy Si Si Si
GoDaddy Si Si Si
Groupon No No No
Nordstrom No No No
PayPal No No No
Target No No No
Walmart No No No

Video, Foto, Giochi ed Intrattenimento

E’ STATO COLPITO? C’È UNA PATCH? OCCORRE CAMBIARE LA PROPRIA PASSWORD?
Flickr Si Si Si
Hulu No No No
Minecraft Si Si Si
Netflix Si Si Si
SoundCloud Si Si Si
YouTube Si Si Si

Banche

E’ STATO COLPITO? C’È UNA PATCH? OCCORRE CAMBIARE LA PROPRIA PASSWORD?
Bank of America No No No
Barclays No No No
Capital One No No No
Chase No No No
Citigroup No No No
E*Trade No No No
Fidelity No No No
PNC No No No
Schwab No No No
Scottrade No No No
TD Ameritrade No No No
TD Bank No No No
T. Rowe Price No No No
U.S. Bank No No No
Vanguard No No No
Wells Fargo No No No

Siti governativi

E’ STATO COLPITO? C’È UNA PATCH? OCCORRE CAMBIARE LA PROPRIA PASSWORD?
1040.com No No No
FileYour Taxes.com No No No
H&R Block No No No
Healthcare .gov No No No
Intuit (TurboTax) No No No
IRS No No No
TaxACT No No No
USAA Si Si Si

Altro

E’ STATO COLPITO? C’È UNA PATCH? OCCORRE CAMBIARE LA PROPRIA PASSWORD?
Box Si Si Si
Dropbox Si Si Si
Evernote No No No
GitHub Si Si Si
IFTTT Si Si Si
OKCupid Si Si Si
Spark Networks (JDate, Christian Mingle) No No No
SpiderOak Si Si No
WordPress Non chiaro Non chiaro Non chiaro
Wunderlist Si Si Si

Password Managers

E’ STATO COLPITO? C’È UNA PATCH? OCCORRE CAMBIARE LA PROPRIA PASSWORD?
1Password No No No
Dashlane Si Si No
LastPass Si Si No

Si prega di non prendere il bug sottogamba e di cambiare la propria password ove suggerito.