La scorsa notte, come quasi ogni altro sito su Internet, abbiamo pubblicato una storia sul bug di sicurezza OpenSSL molto grande e pericoloso chiamato Heartbleed. Il bug lascia aperte ampie porzioni di Internet a hacker malintenzionati per rubare login, carte di credito e chiavi di crittografia. In sostanza, i siti che ritenevano di proteggere i dati degli utenti crittografandoli non lo stavano facendo, né per colpa loro, per oltre due anni.

Il potenziale pericolo è che i dati crittografati e le chiavi crittografiche per sbloccare i dati potrebbero avere

stato rubato dai server. I tuoi dispositivi non sono direttamente interessati. Il software e i servizi che utilizzi potrebbero connettersi con server che potrebbero essere stati interessati dall'esposizione dei tuoi dati. Il bug Heartbleed non lascia traccia nei log, quindi non c'è modo di tornare indietro e dire se un sito web è stato influenzato o meno. Le nuove informazioni oggi dicono che sono stati colpiti oltre 500.000 server.

È stata rilasciata una patch, ma agli utenti di Internet viene richiesto di prendere precauzioni e cambiare password o essere pronti a farlo. C'è un non ufficiale elenco di siti interessati e siti non interessati pubblicati su GitHub. C'è anche un controllo del sito in cui è possibile inserire le informazioni di un sito per verificare se è interessato o meno.

Yahoo, OKCupid, Ars Technica e Tumblr hanno notificato agli utenti di prendere precauzioni e modificare le password dopo aver applicato le patch ai loro siti. Anche se non ho ricevuto nessuna email personalmente da Yahoo.

Cosa puoi fare per evitare Heartbleed?

1. Scansiona l'elenco non ufficiale per i siti che potresti visitare. Non è certamente un elenco esaustivo.
2. Evita di accedere ai siti interessati fino a quando non viene pubblicato un messaggio
3. Contatta le imprese (come le banche) che usi e chiedi se sono interessate e per essere avvisato quando le cose sono chiare di nuovo.
4. Prepararsi a modificare le credenziali di accesso. Ma non apportare modifiche fino a quando un sito non è stato corretto. È necessario dare la priorità agli account di posta elettronica e ai conti bancari e finanziari.
5. Se stai utilizzando il browser Chrome, installa il Controllo Chromeed. L'estensione viene eseguita in background e verrà visualizzato un avviso se un sito è interessato. GottaBeMobile.com non è interessato.
6. Prestare attenzione ai conti finanziari nelle prossime settimane o giù di lì per osservare eventuali attività insolite.

Come sempre prendi le precauzioni che ritieni necessarie. Questi tipi di storie si svolgono in genere in un periodo di tempo e pubblicheremo gli aggiornamenti così come li abbiamo. C'è una buona lettura sul bug Heartbleed, OpenSSL e molto altro qui e qui.