Além de colocar os sites em risco, bug agora também está sendo utilizado para ataques de spam.
Ranking com domínios vulneráveis ao Heartbleed em 22 de abril
O levantamento foi feito há duas semanas por meio do 1 milhão de páginas registradas no Alexa Internet, serviço web que pertence à Amazon e mensura quantos usuários visitam um site diariamente. O intuito era verificar quantas páginas online podiam estar vulneráveis à brecha de segurança.
Para quem não lembra, o Heartbleed afeta um componente do OpenSSL conhecido como “heartbeat”, e estima-se que a vulnerabilidade já exista há dois anos, embora só tenha sido descoberta e publicamente anunciada no começo de abril. Vale ressaltar que a vulnerabilidade afeta somente o OpenSSL e não o protocolo de segurança SSL em si.
De acordo com Trend Micro, a maioria dos administradores de sistemas tem prestado atenção aos avisos e atualizado os seus servidores. A questão agora é se os 10% restantes dos domínios vulneráveis serão consertados logo ou se ficaremos presos a um pedaço da Internet sempre vulnerável à falha.
Ataques Spam
O risco nos sites não é o único problema que vem sendo gerado pelo Heartbleed, de acordo com a Trend Micro. Cibercriminosos têm aproveitado todo o furor em torno do bug para transformar notícias e discussões em isca para ataques de Spam.
O e-mail malicioso enviado é bem simples e traz uma mensagem notificando o usuário sobre a ‘grande preocupação com segurança na Internet’ que o Heartbleed propulsiona e oferece conselhos, bem como um link para um suposto relatório elaborado pela CNN sobre o assunto.
O link leva a uma URL maliciosa que, até o fechamento da matéria, parece ter sido tirada do ar.
Ferramentas de proteção
Os usuários que quiserem testar se os sites que utiizam estão em risco, a Trend Micro lançou um aplicativo chamado de Heartbleed Detector, que pode ser encontrado na Google Play, Google Chrome store e na web.
Fora isso, há também ferramentas online das empresas Lastpass, Qualys Lab e McAfee, além da de Filippo Valsorda, que podem ser usadas para testar se o site que você está acessando (ou irá acessar) está vulnerável. Todas são online e gratuitas.