Introdotto nelle librerie OpenSSL nel dicembre del 2011, il bug, denominato “heartbleed”, è rimasto presente in quello che si stima essere circa il 17% della rete globale per oltre 3 anni, seppur in sordina.
Qualche giorno fa, tuttavia, Neel Mehta, ingegnere addetto alla sicurezza di Google, insieme a tre ingegneri di Codenomicon, si è accorto del pericoloso bug che, ad oggi, avrebbe interessato oltre mezzo milione di utenti in tutto il mondo ed ha lanciato l’allerta.
Il pericolo non è ancora cessato, ed al momento sistemi di sicurezza internazionali come CloudFlare e Cisco stanno conducendo dei test per appurare la reale entità del problema. Il micidiale bug, infatti, ha reso chiaro come il sole che OpenSSL, software adoperato per la criptazione dei dati, non è stato in grado di proteggere quegli stessi dati che dovrebbe mettere al sicuro. Avete presente quel lucchetto che compariva accanto all’URL del sito “delicato” che stavate visitando e che doveva significare che la vostra navigazione fosse sicura? Ecco, quel lucchetto in realtà era aperto da oltre 2 anni e mezzo.
La cosa che più stupisce è che una falla dai risvolti così gravi e quasi tragici (chiunque fosse a conoscenza del bug avrebbe potuto adoperarlo per fare uno 0-day attack di proporzioni faraoniche e virtualmente fare seri danni all’intera rete globale) sia rimasta nell’ombra per così tanto tempo. Non si ha idea di chi abbia potuto fare cosa in questi due lunghi anni ed oltre.
C’è chi ha persino immaginato che dietro questa falla gravissima potesse esserci l’NSA, che ha subito rimandato al mittente le accuse.
Una patch è subito stata rilasciata dal team di sviluppo di OpenSSL, ma per farsi una piccola idea dello tsunami che ha colpito la rete, ecco di seguito i servizi o i siti più famosi colpiti dal bug:
- Akamai Technologies
- Amazon Web Services
- Ars Technica
- Bitbucket
- BrandVerity
- GitHub
- IFTTT
- Mojang
- PeerJ
- SoundCloud
- SourceForge
- SparkFun
- Stripe
- Tumblr
- Wattpad
- Wikimedia (inclusa Wikipedia)
- Wunderlist
I seguenti software sono stati affetti dal bug:
Anche Tech Scene (hostato su AlterVista, che ha prontamnte aggiornato alcune librerie affette dal bug) è stato soggetto al bug che, dopo la sua scoperta e verifica, è stato prontamente fixato.
Social Networks
e’ stato colpito? | C’è una patch? | Occorre cambiare la propria password? | |
---|---|---|---|
Non chiaro | Si | Si | |
Si | Si | Si | |
No | No | No | |
Si | Si | Si | |
Tumblr | Si | Si | Si |
No | Si | Non chiaro |
Altre società
E’ STATO COLPITO? | C’È UNA PATCH? | OCCORRE CAMBIARE LA PROPRIA PASSWORD? | |
---|---|---|---|
Apple | No | No | No |
Amazon | No | No | No |
Si | Si | Si | |
Microsoft | No | No | No |
Yahoo | Si | Si | Si |
E’ STATO COLPITO? | C’È UNA PATCH? | OCCORRE CAMBIARE LA PROPRIA PASSWORD? | |
---|---|---|---|
AOL | No | No | No |
Gmail | Si | Si | Si |
Hotmail / Outlook | No | No | No |
Yahoo Mail | Si | Si | Si |
E-Commerce
E’ STATO COLPITO? | C’È UNA PATCH? | OCCORRE CAMBIARE LA PROPRIA PASSWORD? | |
---|---|---|---|
Amazon | No | No | No |
Amazon Web Services | Si | Si | Si |
eBay | No | No | No |
Etsy | Si | Si | Si |
GoDaddy | Si | Si | Si |
Groupon | No | No | No |
Nordstrom | No | No | No |
PayPal | No | No | No |
Target | No | No | No |
Walmart | No | No | No |
Video, Foto, Giochi ed Intrattenimento
E’ STATO COLPITO? | C’È UNA PATCH? | OCCORRE CAMBIARE LA PROPRIA PASSWORD? | |
---|---|---|---|
Flickr | Si | Si | Si |
Hulu | No | No | No |
Minecraft | Si | Si | Si |
Netflix | Si | Si | Si |
SoundCloud | Si | Si | Si |
YouTube | Si | Si | Si |
Banche
E’ STATO COLPITO? | C’È UNA PATCH? | OCCORRE CAMBIARE LA PROPRIA PASSWORD? | |
---|---|---|---|
Bank of America | No | No | No |
Barclays | No | No | No |
Capital One | No | No | No |
Chase | No | No | No |
Citigroup | No | No | No |
E*Trade | No | No | No |
Fidelity | No | No | No |
PNC | No | No | No |
Schwab | No | No | No |
Scottrade | No | No | No |
TD Ameritrade | No | No | No |
TD Bank | No | No | No |
T. Rowe Price | No | No | No |
U.S. Bank | No | No | No |
Vanguard | No | No | No |
Wells Fargo | No | No | No |
Siti governativi
E’ STATO COLPITO? | C’È UNA PATCH? | OCCORRE CAMBIARE LA PROPRIA PASSWORD? | |
---|---|---|---|
1040.com | No | No | No |
FileYour Taxes.com | No | No | No |
H&R Block | No | No | No |
Healthcare .gov | No | No | No |
Intuit (TurboTax) | No | No | No |
IRS | No | No | No |
TaxACT | No | No | No |
USAA | Si | Si | Si |
Altro
E’ STATO COLPITO? | C’È UNA PATCH? | OCCORRE CAMBIARE LA PROPRIA PASSWORD? | |
---|---|---|---|
Box | Si | Si | Si |
Dropbox | Si | Si | Si |
Evernote | No | No | No |
GitHub | Si | Si | Si |
IFTTT | Si | Si | Si |
OKCupid | Si | Si | Si |
Spark Networks (JDate, Christian Mingle) | No | No | No |
SpiderOak | Si | Si | No |
WordPress | Non chiaro | Non chiaro | Non chiaro |
Wunderlist | Si | Si | Si |
Password Managers
E’ STATO COLPITO? | C’È UNA PATCH? | OCCORRE CAMBIARE LA PROPRIA PASSWORD? | |
---|---|---|---|
1Password | No | No | No |
Dashlane | Si | Si | No |
LastPass | Si | Si | No |
Si prega di non prendere il bug sottogamba e di cambiare la propria password ove suggerito.