Empresas de tecnologia correm para corrigir falha no OpenSSL

Diversas empresas foram surpreendidas na última terça-feira pelo Heartbleed, falha encontrada no OpenSSL que expõe a criptografia e consequentemente os dados que trafegam na internet. Especialistas de segurança dizem que centenas de milhares de servidores web podem ter sido comprometidos pelo bug, ativo há pelo menos dois anos. Agora, empresas de tecnologia, especialmente as que têm a internet como centro de seus negócios, começam a corrida para tentar acessar a vulnerabilidade.

A questão é que o OpenSSL também é usado em grande parte de tecnologias de VPN para trabalhadores remotos nessas empresas. Assim, companhias como Amazon Web Services, Yahoo, Tumblr, entre outras, já afirmaram que estão atualizando seus softwares de OpenSSL com um patch lançado recentemente. A AWS, inclusive, publicou um boletim de segurança detalhando quais serviços foram atualizados em resposta ao Heartbleed – que você pode ver aqui.

Outras empresas não deram muitos detalhes do que estão fazendo para tentar corrigir o desastre, mas estão de olho no Heartbleed. A Microsoft disse estar acompanhando os reports do OpenSSL e que “se for determinado que houve impacto em nossos dispositivos e serviços, medidas necessárias para proteger clientes serão tomadas”.

A empresa de segurança Venafi estima que 40% dos servidores web são Apache e podem ter sido impactados por usarem OpenSSL. Ela e outras companhias de segurança reforçam que o patching do OpenSSL não resolve o problema, uma vez que a falha permite decriptografar dados e ter acesso a informações. Ou seja, para realmente se proteger é preciso mesmo mudar a chave e certificados de criptografia. Todos eles.

E você, CIO? Já tomou alguma medida, tem conversado com fornecedores? Conte para nós nos comentários.