Um mês depois, pelo menos 300 mil servidores ainda estão vulneráveis ao Heartbleed

A grave falha de segurança no OpenSSL, que ficou conhecida como Heartbleed, foi divulgada ao público há mais de um mês, mas muitos servidores continuam vulneráveis. De acordo com o especialista em segurança Robert Graham, pelo menos 300 mil servidores estão sujeitos a falha, número bem menor que os 600 mil de 30 dias atrás, mas ainda assim bastante preocupante.

how-to-treat-heartbleed-bug-imageFileLarge-6-a-6731

O número exato é de 318.239 servidores vulneráveis, mas a quantidade real pode ser maior. É que, no mês passado, Graham encontrou 28 milhões de servidores com SSL habilitado, mas desta vez só foi possível testar 22 milhões de máquinas, talvez por conta de bloqueios automáticos de segurança. Além disso, Graham só fez os testes na porta 443, a mais comum; pode ser que servidores que operam SSL em outras portas também estejam vulneráveis.

Os mais de 300 mil servidores sujeitos ao Heartbleed fazem parte de um universo de 1,5 milhão de sistemas que suportam o heartbeat, extensão que mantém ativa uma conexão SSL. Aproveitando-se da falha no heartbeat, um criminoso pode obter 64 KB de dados da memória do servidor a cada ataque. Ao fazer isso repetidas vezes, é possível obter informações sensíveis, como senhas e números de cartão de crédito.

A falha afetou grandes serviços, como Yahoo, Flickr, Steam, XDA Developers, StackOverflow e Tumblr. Boa parte das empresas que estavam vulneráveis ao Heartbleed já corrigiu a falha e alertou os usuários. A recomendação é trocar pelo menos suas principais senhas, especialmente as que você usa constantemente e dão acesso a dados sensíveis.

Fonte: Tecnoblog

Siga me

Ricardo Galossi

É um apaixonado por segurança da informação, atua profissionalmente há mais de 7 anos na área de tecnologia da informação, onde é focado em análise de vulnerabilidades e testes de invasão.Criou o blog Guia do TI para compartilhar conhecimento, ajudar os mais novos, incentivar debates e manter a comunidade atualizada com as principais notícias da área de TI.
Ricardo Galossi
Siga me

Últimos posts por Ricardo Galossi (exibir todos)

Ricardo Galossi

É um apaixonado por segurança da informação, atua profissionalmente há mais de 7 anos na área de tecnologia da informação, onde é focado em análise de vulnerabilidades e testes de invasão. Criou o blog Guia do TI para compartilhar conhecimento, ajudar os mais novos, incentivar debates e manter a comunidade atualizada com as principais notícias da área de TI.

Deixe seu comentário