Mondo
I contribuenti canadesi e le mamme utenti del sito britannico Mumsnet sono le prime vittime confermate del bug Heartbleed che ha colpito la libreria crittografica OpenSSL e di cui la NSA americana sarebbe stata al corrente ben prima che la notizia fosse divulgata.
L’Agenzia delle entrate canadese (Canada Revenue Agency) ha confermato il furto dei numeri di previdenza sociale di circa 900 contribuenti, da parte di hacker che hanno sfruttato la vulnerabilità. L’Agenzia delle entrate canadese è finora l’unica autorità ad aver bloccato l’accesso ai suoi sistemi informatici per il pagamento delle tasse sulla scia delle rivelazioni sulla falla, che ha interessato due terzi dei siti mondiali.
Mumsnet, celebre sito britannico dedicato ai genitori, ha avvertito di aver riscontrato accessi fraudolenti ai dati degli utenti prima di risolvere il problema causato al sito da Heartbleed. Il sito, pur non fornendo dettagli su quali informazioni sarebbero state trafugate, ha invitato gli utenti a cambiare le loro password.
Importanti web company – da Facebook a Yahoo – hanno messo al sicuro i loro siti, ma molti altri più piccoli potrebbero essere ancora a rischio.
E a essere in pericolo non sono solo i siti internet, ma anche milioni di smartphone Android, in particolare quelli con sistema operativo 4.1.1 che sarebbe l’unico – secondo Google – vulnerabile ad attacchi volti a rubare password e altri contenuti personali, inclusi i testi dei messaggi.
Google ha confermato di aver riscontrato la falla e di averla risolta per quanto attiene ai principali servizi – dalla ricerca a Gmail, da YouTube alle Apps. Google Chrome e Chrome OS non sono interessati da heartbleed.
Secondo Marc Rogers di Lookout Mobile, fornitore specializzato di antimalware per dispositivi Android, anche alcune versioni di Android 4.2.2 personalizzate dagli operatori potrebbero essere a rischio.
La buona notizia, secondo i ricercatori Symantec, è che la maggior parte dei browser non usano la libreria crittografica OpenSSL per implementare le protezioni HTTPS: ciò vuol dire che gli utenti che usano il Pc per navigare dovrebbero essere immuni da attacchi che consentirebbero di estrarre dati dalla memoria del computer.
Gli utenti smartphone, invece, non possono stare così tranquilli: Rogers consiglia di evitare l’uso dello smartphone per servizi di banking o per inviare messaggi personali se prima non si è certi di avere a disposizione un patch correttivo.
Per questa ragione, gli utenti dovrebbero scaricare sul loro smartphone l’app grauita Heartbleed Detector per capire se il device è a rischio Heartbleed.
A rischio, poi, non sono solo gli Android, ma anche gli utenti che utilizzano BlackBerry Messenger su iOS, Mac OS X, Android o Windows. BlackBerry sta studiando un correttivo per risolvere il problema, che non riguarderebbe, comunque, la maggior parte dei servizi della società canadese.
