Comunidade Evangélica Manancial ITAPEVI: Heartbleed: Veja em quais serviços você deveria trocar a senha agora

Afetando algo em torno de dois terços dos servidores pela web, a falha de segurança Heartbleed deixou empresas, sites e usuários em alerta no começo desta semana. E mesmo que o OpenSSL já tenha recebido um patch que corrige a brecha, não podemos deixar de lado o fato de que ela esteve aberta por dois anos, pelo menos – e que pode ter sido explorada, segundo a EFF.

Existe, portanto, um risco de que as chaves de criptografia (e outros dados sigilosos transmitidos nas conexões, é claro) tenham ido parar em mãos erradas bem antes de todos tomarem conhecimento da falha no software. Companhias foram alertadas a trocar as combinações o quanto antes, mas o processo pode levar algum tempo.

Então, se ligarmos todos esses fatores, fica claro que você precisará trocar algumas senhas assim que as correções forem aplicadas pelas empresas, para evitar eventuais problemas. Facebook, Google, Yahoo!, Tumblr, Dropbox, por exemplo, usam o OpenSSL para encriptar seus dados e, portanto, acabaram afetados pela falha. Mas esses são só alguns dos serviços que vão precisar de um minuto de sua atenção. Confira outros a seguir, com informações vindas do Mashable, desta lista e dos canais de comunicação de diversas companhias.

Facebook – Corrigiu a falha antes que ela fosse amplamente divulgada, mas pode ainda ter corrido riscos por dois anos. Troque a senha.

Google, Gmail, YouTube e outros serviços – Descobriu a brecha, corrigindo-a no começo da semana. Mas o caso é similar ao do Facebook. Troque a senha.

Twitter – Afirmou em comunicado que seus servidores não foram afetados pela brecha, mas admitiu que utiliza a biblioteca do OpenSLL. Em resumo, não fica claro se os usuários devem ou não tomar alguma atitude – mas por via das dúvidas, troque.

Yahoo!, Yahoo! Mail e outros serviços – Um dos sites mais acessados nos EUA, usa o OpenSSL para criptografar as comunicações em quase todos os seus domínios. Também foi uma das empresas que mais se complicou na hora de corrigir a brecha. Troque a senha.

LinkedIn – Não depende do software para criptografar seus dados. Não é preciso trocar.

Pinterest – Usa OpenSSL para encriptar os dados transferidos, incluindo senhas. Já corrigiu a falha e alertou os usuários. Troque a senha.

Microsoft, Hotmail, Live e outros serviços – Segundo o LastPass, conta com uma biblioteca de criptografia própria, então é de se supor que nenhum de seus serviços tenha sido afetado. Não é preciso trocar.

Tumblr – Teve que lidar com a brecha, mas já a corrigiu. Ainda assim, o caso é similar aos de Facebook e Google. Troque a senha.

Apple – Não se manifestou em relação ao caso, mas especialistas dizem que segue a ideia da Microsoft e usa um sistema próprio. Ainda assim, não fica claro.

Netflix – Afirmou ao Mashable ter tomado as devidas providências em relação ao tema, mas não especificou se foi ou não afetado. Não fica claro, portanto.

Amazon – Em comunicado, afirmou que não usa OpenSSL nas lojas. Mas seus serviços de computação em nuvem podem ter sofrido consequências. Troque as senhas ou certificados nesses casos, ao menos.

PayPal – A segurança na página não depende da biblioteca de criptografia, o que significa que a empresa não foi afetada. Não é preciso trocar.

Dropbox – O suporte do Dropbox tuitou sobre a falha e afirmou que ela já foi corrigida. O caso, no entanto, é o mesmo do Tumblr. Troque a senha.

Evernote – “Não usa e nunca usou OpenSSL, então não ficou vulnerável”, escreveu a empresa em comunicado. Não é preciso trocar.

Soundcloud – A rede social de músicas foi afetada pela falha, e ao Mashable, afirmou que reiniciará as senhas de todos os usuários. Troque a senha.

Steam – A Valve não emitiu comunicados, mas o site da Steam Community usa a biblioteca para proteger os dados e ficou vulnerável segundo esta lista. O mesmo não aconteceu na Steam Powered, endereço da loja. Ainda assim, é bom trocar a senha.

IFTTT – O serviço de automatização de tarefas enviou um e-mail a todos os usuários avisando sobre a correção do bug e recomendando a troca da senha. Portanto, troque a senha.

UOL, Globo.com, Terra e IG – As páginas de e-mail dos provedores aparentemente não utilizam o software para criptografar comunicações, e esta lista mostra que elas não foram afetadas ou não tinham SSL. O suporte técnico do UOL, no entanto, não parecia saber do bug, mas recomendou que os usuários mantenham o hábito de trocar as senhas eventualmente – a cada três meses, como medida de segurança padrão.

Catho Online – A assessoria e a equipe de TI do serviço de vagas de emprego disse a INFO que os servidores usam outra ferramenta e que o site não foi afetado pela vulnerabilidade. Um teste feito aquiconfirma. Não é preciso trocar a senha.

Bancos – As instituições financeiras contam com diferentes camadas de proteção – tokens, autenticação em dois fatores, combinações extras, cartões, entre outras –, e não costumam usar outras ferramentas diferentes do OpenSSL para criptografar dados, como comprova esta lista (procure os endereços com CTRL+F). Portanto, suas informações devem estar seguras.

Outras medidas de segurança – Se estiver na dúvida em relação a outro serviço ou site, convém digitar o endereço completo nesta página aqui ou na ferramenta da LastPass. Elas informarão se o website já está com a brecha fechada e se ele foi afetado pela vulnerabilidade. Em caso afirmativo, o mais recomendado é mesmo trocar a senha.

Caso você tenha que usar muitas combinações novas e esteja com receio de esquecê-las, pode ser interessante adotar soluções como o mencionado LastPass ou o KeePass. Os programas armazenam todas as senhas em um só lugar, mantendo-as protegidas por uma chave-mestra e criptografando todas as informações.

Ambos também criam combinações fortes, de letras, números e símbolos, que, em teoria, dificultam a vida de quem tentar quebrá-las. Só vale lembrar que o primeiro citado foi um pouco afetado pela vulnerabilidade no OpenSSL, mas garantiu que os dados dos usuários e as chaves de criptografia ficaram a salvo – eles espertamente as armazenam em servidores aos quais o app não tem acesso, e não acreditam que seja necessário reiniciar as senhas-mestras.

Fora isso, também pode ser útil ativar a autenticação em dois passos em todos os sites onde ela está disponível. O sistema adiciona uma camada extra de proteção às contas: além da combinação que você escolher, será necessário informar na tela de login outra sequência que aparece no smartphone, por exemplo. Se quiser saber mais sobre isso, clique aqui.