Le password da cambiare subito a causa del bug nell’SSL

ICT,

Molte aziende stanno chiedendo agli utenti di cambiare le password su internet dopo che hanno scoperto una falla nei sistemi di sicurezza. Il baco, chiamato Heartbleed, è stato definito dagli esperti una delle peggiori minacce alla sicurezza di internet della storia.

Heartbleed potrebbe aver colpito molti siti, alcuni dei quali vengono usati tutti i giorni, e potrebbe aver messo a rischio i dati personali degli utenti (password, numeri di carte di credito) negli ultimi due anni. Ma non è chiaro quali siti siano stati colpiti realmente.

Diverse aziende hanno già aggiornato i loro server per evitare il problema. E questo significa che chi usa i loro siti deve cambiare la sua password. Non si sa se questi siti sono stati violati, perché nessuno può sapere se gli hacker fossero a conoscenza della falla fino a oggi.

Alcuni dei siti più a rischio.

Dove bisogna cambiare la password:

  • Facebook
  • Tumblr
  • Google
  • Yahoo!
  • Gmail
  • Yahoo! Mail
  • Dropbox
  • LastPass

Dove non è chiaro se bisogna cambiare la password oppure no:

  • Twitter
  • Apple
  • eBay
  • Netflix

Dove non bisogna cambiare la password:

  • LinkedIn
  • Amazon
  • Microsoft
  • AOL
  • Hotmail / Outlook
  • PayPal

Cosa è successo di preciso. Heartbleed ha colpito OpenSSL, uno dei sistemi di sicurezza più usati per il traffico in rete. OpenSSL è una libreria open source per la crittografia legata ai protocolli SSL e TSL. Serve per proteggere dati sensibili degli utenti e si trova in molti siti basati sul protocollo https (servizi di email, banche online e servizi di archiviazione di file).

Sfruttando il baco, gli hacker potrebbero copiare le chiavi di sicurezza di OpenSSL e quindi rubare dati personali e password degli utenti.

La falla è stata scoperta il 7 aprile da uno dei responsabili della sicurezza di Google e dagli ingegneri della Codenomicon, un’azienda specializzata in sicurezza online.

Più del 66 per cento dei siti usa OpenSSL, fa sapere Codenomicon. In particolare quelli ospitati sui server che usano le piattaforme Apache e Nginx. Inoltre OpenSSL protegge tanti servizi email, servizi di chat, reti virtuali private e altre applicazioni.