Ερευνητές της φινλανδικής εταιρείας Codenomicon σε συνεργασία με την Google ανακάλυψαν πριν από λίγες ημέρες ένα εξαιρετικά διαδεδομένο κενό ασφάλειας – αφού, σύμφωνα με τον Guardian, εκτιμάται πως καθιστά ευάλωτες έως και 500.000 ιστοσελίδες. Το κενό «βαφτίσθηκε» Heartbleed και αφορά το λογισμικό OpenSSL, μέσω του οποίου ευαίσθητα δεδομένα διακινούνται κρυπτογραφημένα στους σέρβερ. Δεδομένα που, αξιοποιώντας το Heartbleed, θα μπορούσε να υποκλέψει και να «διαβάσει» οποιοσδήποτε χάκερ.
Η ευπάθεια χρονολογείται τουλάχιστον από το 2012 και επηρεάζει όλες τις ιστοσελίδες ή τις υπηρεσίες που βασίζονται στο OpenSSL για την κρυπτογράφηση των πληροφοριών των χρηστών τους, όπως των κωδικών πρόσβασης. Σύμφωνα με το BBC, σε αυτόν τον κατάλογο περιλαμβάνονται ενδεικτικά η φορολογική πλατφόρμα του καναδικού υπουργείου Οικονομικών, τα σάιτ της Deutsche Bank και του FBI, όπως και οι υπηρεσίες Flickr και Tumblr της Yahoo.
Οποιαδήποτε αξιοποίηση του Heartbleed από χάκερ δεν θα άφηνε «ίχνη». Επομένως, είναι αδύνατον να διαπιστωθεί αν κυβερνοεγκληματίες εκμεταλλεύτηκαν το κενό ασφαλείας σε ευάλωτα σάιτ όπως το παραπάνω, στα χρόνια που μεσολάβησαν. «Η σωστή λέξη είναι καταστροφή», έγραψε στο μπλογκ του ο ειδικός στην κυβερνοασφάλεια Bruce Schneier.
Από τη Δευτέρα που έγινε γνωστή η ύπαρξη του Heartbleed, αρκετές ιστοσελίδες και online πλατφόρμες έχουν ήδη αντικαταστήσει την έκδοση του OpenSSL που χρησιμοποιούσαν με μια αναβαθμισμένη και ασφαλή παραλλαγή. Μάλιστα, ανακοινώνοντας την αναβάθμιση, το Tumblr συνέστησε στους χρήστες του να αλλάξουν κωδικούς πρόσβασης οπουδήποτε «εμπιστεύονται» ευαίσθητα δεδομένα – όπως στις υπηρεσίες e-mail, web banking ή cloud storage. Το ίδιο έκανε και εκπρόσωπος της εταιρείας κυβερνοασφάλειας NCC Group, μιλώντας στο BBC.
Από την άλλη μεριά, άλλοι ειδικοί υποστηρίζουν πως δεν θα πρέπει κανείς να βιαστεί, αφού θα χρειαστεί να περάσουν μερικά 24ωρα ακόμη, πριν όλες οι υπηρεσίες που χρησιμοποιεί έχουν όντως αναβαθμισθεί στην ασφαλή έκδοση του OpenSSL. «Αν μια ιστοσελίδα εξακολουθεί να χρησιμοποιεί την παραλλαγή του OpenSSL με το Heartbleed, τότε ο χρήστης καθιστά ευάλωτο τόσο το παλιό όσο και το νέο password», αναφέρει χαρακτηριστικά στον Guardian o Mark Schoessler από τη Rapid7.