Tecnologia

Heartbleed: Veja em quais serviços você deveria trocar a senha agora

Falha Heartbleed no OpenSSL já foi corrigida, mas seguiu aberta por dois anos; chances de que dados tenham sido vazados antes são grandes, então é melhor prevenir

heartbleed (Reprodução)

heartbleed (Reprodução)

DR

Da Redação

Publicado em 22 de abril de 2014 às 11h14.

Afetando algo em torno de dois terços dos servidores pela web, a falha de segurança Heartbleed deixou empresas, sites e usuários em alerta no começo desta semana. E mesmo que o OpenSSL já tenha recebido um patch que corrige a brecha, não podemos deixar de lado o fato de que ela esteve aberta por dois anos, pelo menos – e que pode ter sido explorada, segundo a EFF.

Existe, portanto, um risco de que as chaves de criptografia (e outros dados sigilosos transmitidos nas conexões, é claro) tenham ido parar em mãos erradas bem antes de todos tomarem conhecimento da falha no software. Companhias foram alertadas a trocar as combinações e certificados o quanto antes, mas o processo pode levar algum tempo.

Então, se ligarmos todos esses fatores, fica claro que você precisará trocar algumas senhas assim que as devidas correções forem aplicadas pelas respectivas empresas, para evitar eventuais problemas. Facebook, Google, Yahoo!, Tumblr e Dropbox, por exemplo, usam o OpenSSL para encriptar seus dados, foram afetados e afirmaram já ter corrigido a brecha e tomado as devidas providências em relação às chaves de criptografia.

Mas esses são só alguns dos serviços que vão precisar de um minuto de sua atenção. Confira outros a seguir, com informações vindas do Mashable, desta lista (apenas checada, já que fora atualizada pela última vez no dia 8 de abril, antes de muitas empresas corrigirem a vulnerabilidade em seus servidores) e dos canais de comunicação de diversas companhias.

Facebook – Corrigiu a falha antes que ela fosse amplamente divulgada, mas pode ainda ter corrido riscos por dois anos. Troque a senha.

Google, Gmail, YouTube e outros serviços – Descobriu a brecha, corrigindo-a no começo da semana. Mas o caso é similar ao do Facebook. Troque a senha.

Twitter – Afirmou em comunicado que seus servidores não foram afetados pela brecha, mas admitiu que utiliza a biblioteca do OpenSLL. Em resumo, não fica claro se os usuários devem ou não tomar alguma atitude – mas por via das dúvidas, talvez seja bom ativar a verificação em dois passos.

Yahoo!, Yahoo! Mail e outros serviços – Um dos sites mais acessados nos EUA, usa o OpenSSL para criptografar as comunicações em quase todos os seus domínios. Também foi uma das empresas que mais se complicou na hora de corrigir a brecha. Troque a senha.

LinkedIn – Não depende do software para criptografar seus dados. Não é preciso trocar.

Pinterest – Usa OpenSSL para encriptar os dados transferidos, incluindo senhas. Já corrigiu a falha e alertou os usuários. Troque a senha.

Microsoft, Hotmail, Live e outros serviços – Conta com uma biblioteca de criptografia própria, então é de se supor que nenhum de seus serviços tenha sido afetado. Não é preciso trocar.

Tumblr – Teve que lidar com a brecha, mas já a corrigiu. Ainda assim, o caso é similar aos de Facebook e Google. Troque a senha.

Apple – Afirmou ao Re/code que seus serviços não foram atingidos pela brecha no OpenSSL. "O iOS e o OS X nunca usaram o software vulnerável e serviços baseados na web não foram afetados", disse um representando ao site. Não é preciso trocar.

Netflix – Afirmou ao Mashable ter tomado as devidas providências em relação ao tema, mas não especificou se foi ou não afetado. Não fica claro, portanto.

Amazon – Em comunicado, afirmou que não usa OpenSSL nas lojas. Mas seus serviços de computação em nuvem podem ter sofrido consequências. Troque as senhas ou certificados nesses casos, ao menos.

PayPal – A segurança na página não depende da biblioteca de criptografia, o que significa que a empresa não foi afetada diretamente. Não é preciso trocar.

Dropbox – O suporte do Dropbox tuitou sobre a falha e afirmou que ela já foi corrigida. O caso, no entanto, é o mesmo do Tumblr. Troque a senha.

Evernote – “Não usa e nunca usou OpenSSL, então não ficou vulnerável”, escreveu a empresa em comunicado. Não é preciso trocar.

Soundcloud – A rede social de músicas foi afetada pela falha, e ao Mashable, afirmou que reiniciará as senhas de todos os usuários. Troque a senha.

Steam – A Valve não emitiu comunicados, mas o site da Steam Community usa a biblioteca para proteger os dados e ficou vulnerável segundo esta lista. O mesmo não aconteceu na Steam Powered, endereço da loja. Ainda assim, é bom trocar a senha ou usar a autenticação em dois fatores.

IFTTT – O serviço de automatização de tarefas enviou um e-mail a todos os usuários avisando sobre a correção do bug e recomendando a troca da senha. Portanto, troque a senha.

Issuu – Em comunicado aos usuários, a rede para publicações online informou ter corrigido a brecha e resolvido a questão das chaves de criptografias. Também avisou a todos: troquem as senhas.

UOL, Globo.com, Terra e IG – As páginas de e-mail dos provedores aparentemente não utilizam o software para criptografar comunicações, e esta lista mostra que elas não foram afetadas ou não tinham SSL. O suporte técnico do UOL, no entanto, pareceu não saber nada sobre a brecha, mas apontou que a biblioteca é usada na comunicação por protocolos POP3 e SMTP, por exemplo. A recomendação dada foi para que os usuários mantenham o hábito de trocar as senhas eventualmente – a cada três meses, como medida de segurança padrão, que deveria ser adotada por todos em qualquer serviço.

Catho Online – A assessoria e a equipe de TI do serviço de vagas de emprego disse a INFO que os servidores usam outra ferramenta e que o site não foi afetado pela vulnerabilidade. Um teste feito aqui confirma. Não é preciso trocar a senha.

Bancos – As instituições financeiras contam com diferentes camadas de proteção – tokens, autenticação em dois fatores, combinações extras, cartões, entre outras –, e costumam usar outras ferramentas diferentes do OpenSSL para criptografar dados, como comprova esta lista (procure os endereços com CTRL+F). Portanto, a princípio, suas informações devem estar seguras – ao menos até algum comunicado ser emitido pelos bancos.

Outras medidas de segurança – Se estiver na dúvida em relação a outro serviço ou site, convém digitar o endereço completo na ferramenta da LastPass. Ela informará se o website já está com a brecha fechada e se ele foi afetado pela vulnerabilidade. Em caso afirmativo, o mais recomendado é checar se todo o procedimento foi seguido pela empresa – renovação de certificados e troca de chaves de criptografia, por exemplo – e, aí sim, trocar a senha. As companhias poderão emitir algum tipo de comunicado sobre o assunto em blogs ou por e-mail, alertando os usuários assim que todos os devidos procedimentos forem tomados. 

Caso você tenha que usar muitas combinações novas e esteja com receio de esquecê-las, pode ser interessante adotar soluções como o mencionado LastPass ou o KeePass. Os programas armazenam todas as senhas em um só lugar, mantendo-as protegidas por uma chave-mestra e criptografando todas as informações.

Ambos também criam combinações fortes, de letras, números e símbolos, que, em teoria, dificultam a vida de quem tentar quebrá-las. Só vale lembrar que o primeiro citado foi um relativamente afetado pela vulnerabilidade no OpenSSL, mas garantiu que os dados dos usuários e as chaves de criptografia ficaram a salvo – eles espertamente as armazenam em servidores aos quais o app não tem acesso, e não acreditam que seja necessário reiniciar as senhas-mestras.

Fora isso, também pode ser útil ativar a autenticação em dois passos em todos os sites onde ela está disponível. O sistema adiciona uma camada extra de proteção às contas: além da combinação que você escolher, será necessário informar na tela de login outra sequência que aparece no smartphone, por exemplo. Se quiser saber mais sobre isso, clique aqui.

Acompanhe tudo sobre:INFOseguranca-digital

Mais de Tecnologia

Como a greve da Amazon nos EUA pode atrasar entregas de Natal

Como o Google Maps ajudou a solucionar um crime

China avança em logística com o AR-500, helicóptero não tripulado

Apple promete investimento de US$ 1 bilhão para colocar fim à crise com Indonésia