Facebook, Twitter, Linkedin: Occhio alle Password arriva Heartbleed

0
876 views
Facebook_Virus

Che internet sia pieno di minacce per la sicurezza non è un mistero, ma la notizia della vulnerabilità emersa nelle scorse ore e denominata Heartbleed, è più che giustificato che la preoccupazione possa salire a livelli più alti del solito.

Il bug reso noto da CloudFlare potrebbe infatti aver messo e mettere a rischio dati personali e password di milioni di utenti. Qualcuno ha già definito la vulnerabilità un incubo informatico, ed il timore è che possa non trattarsi di un’esagerazione.

Yahoo! sembra essere stato il sito più colpito, ma il bug riguarda anche altri colossi di internet, così come siti di minore diffusione. Una prima lista è stata stilata due giorni fa da un utente di Github: dei 10.000 siti compresi nell’elenco, 627 risultano essere vulnerabili ad Heartbleed, tra i quali Yahoo! e vari servizi collegati come le mail e Tumblr.

Questa lista può essere un buon punto di partenza: se un sito sul quale siete registrati è sulla lista e non risulta affetto dal bug dovrebbe (il condizionale è d’obbligo) essere sicuro. Se invece risulta affetto evitate assolutamente di effettuare il login, a meno di casi di necessità estrema.

Una precisazione: entrare in un sito affetto dal bug e cambiare le credenziali di accesso non risolve in alcun modo il problema. Anzi: se qualche hacker avesse sfruttato la vulnerabilità, non fareste altro che fornirgli ulteriori informazioni.

Tra parentesi, questa situazione potrebbe essere un’ottima opportunità per rendersi conto, nel caso non l’aveste già fatto, dell’assoluta necessità di non utilizzare la stessa password per tutti i servizi che si utilizzano su internet. Se così fosse, per un hacker sarebbe sufficiente trovare la password di un solo sito vulnerabile per poterla sfruttare anche su quelli che, da un punto di vista tecnico, sono sicuri, cioè non affetti da Heartbleed.

 

È bene tenere conto che la lista risale, come detto, a due giorni fa: molti siti e servizi sono già intervenuti con successo per cercare di risolvere il problema, e potrebbero avervi inviato una mail per comunicarvelo.

Ovviamente, se il vostro servizio mail fosse tra quelli potenzialmente affetti dal problema, loggarsi per verificare se questa mail sia effettivamente arrivata potrebbe non essere una buona idea. In alternativa, verificate se il sito ha un numero telefonico da contattare, o eventualmente un servizio clienti online per avere informazioni aggiornate.

Nel caso il sito che vi interessa non fosse compreso tra quelli contenuti nell’elenco linkato più sopra, potete effettuare da voi un test per verificare la presenza della vulnerabilità. Nel caso utilizziate Google Chrome come browser, è possibile installare un’estensione chiamata Chromebleed che effettua il controllo a comando quando visitate un sito.

Una delle principali preoccupazioni è al momento quella che i siti delle banche che offrono servizi di home banking possano essere vulnerabili. In base ad una prima verifica, effettuata con il tool che vi abbiamo linkato più sopra, sembra che l’unico sito potenzialmente affetto dal bug sia quello della Banca Popolare di Vicenza, mentre quelli delle altre banche sembrano essere sicuri.

Il problema principale non riguarda comunque i grossi siti, che possono mettere al lavoro sulla vulnerabilità schiere di ingegneri informatici in pochissimo tempo per elaborare una soluzione. Il rischio maggiore lo corrono in questo momento soprattutto i piccoli siti, che potrebbero non avere tempo e competenze per intervenire tempestivamente. La regola aurea in questi giorni, finché no si avranno conferme specifiche in merito, è quella di usare la massima prudenza.

Fonte: It.Ibtimes