Os serviços financeiros da GE Money australiana pediu aos clientes para que procedam à alteração de passwords, a fim de evitarem as vulnerabilidades relacionadas com o Heartbleed.
O alerta foi lançado pouco depois de uma notícia do The Sydney Morning Herald que revela que os sites usados pelos clientes dos cartões de crédito Myer Visa, Myer e Coles Mastercard estão vulneráveis aos intentos dos hackers que tentem explorar as vulnerabilidades relacionadas com o Heartbleed.
Mas estas não são as únicas novidades no que toca ao Heartbleed: o site Mumsnet, que conta com 1,5 milhões de utilizadores registados, é a primeira vítima confirmada de um ataque por exploração do bug Heartbleed. O pouco animador primeiro lugar dos alvos de ataque é partilhado com uma agência fiscal no Canadá que admitiu o roubo de dados de mais de 900 cidadãos através do mesmo meio.
A fundadora do Mumsnet explica que só desconfiou que seria vítima desta falha quando viu um post publicado com o seu nome de utilizador e password. A primeira medida de segurança do site é estar a pedir para que os utilizadores alterem as suas palavras-chave, noticia a BBC. O meio usado é que não é o mais recomendável: os utilizadores estão a receber um email com um link onde devem carregar para alterar a palavra-chave. As recomendações de segurança informática frisam sempre que não se deve carregar em links que nos sejam enviados por email.
Por outro lado, os dispositivos com a versão 4.1.1 do Android também estão em risco e a Google ainda não tornou pública a correção. Muitos dos tablets e smartphones em risco não podem correr versões mais atualizadas, o que faz com que os utilizadores estejam em risco de verem a sua informação pessoal ser roubada. Segundo os dados da própria Google, 10% dos mais de mil milhões de utilizadores de Android têm a versão 4.1.1 instalada.
Há ainda centenas de apps que terão de ser corrigidas, como o BBM para iOS e Android. Enquanto a Blackberry não lança a atualização, a app continua disponível nas lojas de aplicações. A Trend Micro estima que haja ainda cerca de seis mil apps em risco, menos mil do que as que foram marcadas na sexta-feira passada.
A falha no OpenSSL permite o roubo de 64 kb de dados não encriptados, o que é suficiente para roubar, por exemplo, passwords ou certificados de segurança, que poderão ser usados depois noutros ataques.
