SÃO PAULO – A agência de espionagem norte-americana NSA pode ter se aproveitado da falha de segurança Heartbleed por quase dois anos para monitorar dados pessoais. A falha foi descoberta essa semana e está sendo considerada uma das mais graves já ocorridas na internet. Que a agência governamental dos Estados Unidos tenha explorado a falha para seus propósitos e não avisou sobre sua existência deve trazer uma nova enxurrada de críticas ao órgão, já bastante condenado desde que suas atividades foram expostas por seu ex-técnico Edward Snowden.
A notícia foi divulgada pela Bloomberg, que citou “duas pessoas familiarizadas com o assunto”. De acordo com a notícia, “ao incluir o bug Heartbleed em seu arsenal”, a NSA teve acesso a senhas e dados básicos que podem ajudar muito suas missões. A tática, porém, tem um preço alto por deixar “milhões de usuários comuns expostos a ataques de criminosos e agências de inteligência de outros países”.
“Isso vai contra os comentários da agência de que a defesa vem em primeiro lugar”, disse a Bloomberg, o especialista em cibersegurança do Atlantic Council e ex-oficial da Força Aérea dos EUA Jason Healey. “Eles vão ser duramente criticados pela comunidade de segurança computacional por causa disso”.
Procurada pela Bloomberg, a NSA se recusou a comentar sobre o conhecimento da falha pela agência. A matéria lembra que procurar por falhas de segurança é parte importante da missão da NSA.
Antes desta notícia, já circularam boatos de que o Heartbleed poderia ser uma criação da própria NSA. Em entrevista à revista alemã Der Spiegel, um programador envolvido com o código OpenSSL negou a possibilidade, dizendo que a falha foi nada mais que um “erro indesejado”.
Falha afetou dois terços dos sites do mundo
Empresas de internet se apressaram nesta terça-feira, 8, para reparar seus sistemas depois do alerta sobre um grave erro de software no método de criptografia OpenSSL. A falha teria comprometido seriamente, desde 2012, a segurança de dois terços dos sites existentes no mundo.
O sistema é amplamente utilizado para proteger informações de sites seguros e seus respectivos servidores. Com o OpenSSL, logins, senhas e dados bancários ficam criptografados e protegidos. Quando o usuário entra em sites com “https” no endereço, como os identificados com cadeado, está provavelmente sob a asa do OpenSSL.
Yahoo!, Google, Facebook, YouTube, Twitter, Blogspot, Amazon, WordPress e Pinterest, que utilizam o SSL, informaram que já repararam a falha, apelidada de HeartBleed.
Segundo a página Heartbleed.com o erro punha ao alcance de qualquer hacker o acesso a unidades de informação privada e protegida hospedadas em servidores que usassem o OpenSSL, uma codificação de segurança de uso frequente na internet.
As recomendações de especialistas para lidar com problema variam. Alguns pedem que usuários evitem nesta semana a internet para operações com dados sigilosos, que exigem login e senha. Outros recomendam a mudança imediata de logins e senhas. Quanto a esse procedimento, não há unaniidade. Existem especialistas que consideram melhor não proceder com a alteração, pois insistir em usar um site vulnerável poderia aumentar o problema.
Aparelhos móveis também podem estar vulneráveis por causa dos aplicativos, que muitas vezes usam os mesmos servidores que suas versões para internet. Tablets e smartphones Android na versão 4.1.1 foram reportados como vulneráveis. O site Digital Trends publicou uma lista de aplicativos com títulos que podem ter sido afetados.
