Heartbleed: un bug fa “sanguinare” il cuore del web

Share on facebook
Share on twitter
Share on whatsapp
Share on telegram

dalla Redazione

Qualcuno parla già di una delle più grandi fughe di dati nella storia della rete:  password, carte di credito,dati sensibili,  tutti a rischio sul web dopo la scoperta di una falla nel sistema “OpenSSL”, il software di sicurezza usato da milioni di siti internet nelle transazioni commerciali e nelle comunicazioni criptate. In pratica è quel lucchetto (riconoscibile con la sigla ‘https’ all’inizio della url) usato dai siti proprio per proteggere le comunicazioni considerate più delicate. Secondo il New York Times, due terzi dei siti mondiali usano o hanno usato la tecnologia ‘OpenSSL’. Non è possibile sapere se e quanti dati sono stati sottratti.

La minaccia si chiama ‘Heartbleed’ e potrebbe aver consentito agli hacker di accedere a una enorme quantità di dati sensibili negli ultimi due anni. Il ‘bug’ è stato scoperto da un gruppo di ricercatori finlandesi che lavorano per una società di sicurezza di Saratoga, in California, e da due esperti della sicurezza di Google. Tra i siti attualmente più vulnerabili ci sarebbero soprattutto Yahoo! e il suo social media Tumblr, e poi Flickr e Oculus. Ma non si esclude che in passato siano stati affetti dal ‘bug’ tutti i colossi della rete: da Facebook a Google, da Wikipedia ad Amazon, da Twitter ad Apple fino a Microsoft.

La falla nel sistema di sicurezza è particolarmente grave perché consente agli hacker di rubare le informazioni criptate senza lasciare alcuna traccia del loro operato. Quindi è molto difficile riuscire a valutare quanti e quali dati siano stati realmente sottratti.

Yahoo, Facebook, Google, e Amazon hanno annunciato però di essere in procinto di risolvere il problema o di averlo già fatto. Da lunedì scorso è disponibile un update dell’OpenSSL immune dal problema, ma ogni sito dovrà aggiornare all’ultima versione. La scoperta di questa falla potrebbe rendere urgente un cambio di password per tutti gli utenti di internet coinvolti, ma solo dopo essersi accertati che il sito web abbia aggiornato l’OpenSSL.