Logo E-Commerce Brasil

Heartbleed: Brasil é o terceiro país com mais sites vulneráveis à falha

Por: Redação E-Commerce Brasil

Equipe de jornalismo E-Commerce Brasil

Além de colocar os sites em risco, bug agora também está sendo utilizado para ataques de spam.
heartbleed-sitesvulneraveis

Ranking com domínios vulneráveis ao Heartbleed em 22 de abril

O levantamento foi feito há duas semanas por meio do 1 milhão de páginas registradas no Alexa Internet, serviço web que pertence à Amazon e mensura quantos usuários visitam um site diariamente. O intuito era verificar quantas páginas online podiam estar vulneráveis à brecha de segurança.

Para quem não lembra, o Heartbleed afeta um componente do OpenSSL conhecido como “heartbeat”, e estima-se que a vulnerabilidade já exista há dois anos, embora só tenha sido descoberta e publicamente anunciada no começo de abril. Vale ressaltar que a vulnerabilidade afeta somente o OpenSSL e não o protocolo de segurança SSL em si.

De acordo com Trend Micro, a maioria dos administradores de sistemas tem prestado atenção aos avisos e atualizado os seus servidores. A questão agora é se os 10% restantes dos domínios vulneráveis serão consertados logo ou se ficaremos presos a um pedaço da Internet sempre vulnerável à falha.

Ataques Spam

O risco nos sites não é o único problema que vem sendo gerado pelo Heartbleed, de acordo com a Trend Micro. Cibercriminosos têm aproveitado todo o furor em torno do bug para transformar notícias e discussões em isca para ataques de Spam.

O e-mail malicioso enviado é bem simples e traz uma mensagem notificando o usuário sobre a ‘grande preocupação com segurança na Internet’ que o Heartbleed propulsiona e oferece conselhos, bem como um link para um suposto relatório elaborado pela CNN sobre o assunto.

O link leva a uma URL maliciosa que, até o fechamento da matéria, parece ter sido tirada do ar.

Ferramentas de proteção

Os usuários que quiserem testar se os sites que utiizam estão em risco, a Trend Micro lançou um aplicativo chamado de Heartbleed Detector, que pode ser encontrado na Google Play, Google Chrome store e na web.

Fora isso, há também ferramentas online das empresas LastpassQualys Lab e McAfee, além da de Filippo Valsorda, que podem ser usadas para testar se o site que você está acessando (ou irá acessar) está vulnerável. Todas são online e gratuitas.