Uma falha recém-descoberta num software de segurança usado por milhares de serviços de Internet em todo o mundo permite que sejam obtidos vários tipos de dados de utilizadores dos sites vulneráveis, o que pode incluir palavras-passe e dados bancários.

Já foi disponibilizada uma solução para o problema, que implica a actualização do software nos servidores. Nesta terça-feira à tarde, cerca de 24 horas após a divulgação da falha, várias empresas, entre as quais o Yahoo, a Amazon e o Google, comunicaram ter feito a actualização.

O Yahoo foi das empresas em que profissionais de segurança informática dizem ter explorado a falha com sucesso, obtendo nomes de utilizadores e palavras-passe. Alguns divulgaram os resultados online. A empresa disse já ter resolvido o problema em vários dos seus serviços, incluindo a pesquisa, o email e vários sites de informação.

A vulnerabilidade foi descoberta por investigadores em segurança informática de uma empresa chamada Codenomicon e por um outro do Google. Informalmente, foi chamada Heartbleed e a Codenomicon criou um site para explicar o problema. Permite a atacantes aceder à memória dos servidores e obter a chave que é usada para encriptar os dados dos serviços afectados. Esta chave permite desencriptar a informação que circula naquelas ligações. Os ataques não deixam rasto.

O problema está num software de código aberto chamado OpenSSL, que serve para criar ligações encriptadas entre servidores de Internet e o browser do utilizador, para permitir que os dados circulem de forma segura. Os utilizadores podem identificar este género de ligações pelos endereços que comecem por “https” (em vez de simplesmente “http”), embora nem todas as ligações deste tipo estejam necessariamente vulneráveis. Dado o uso generalizado do software e o facto de a falha ter mais de dois anos, não é conhecida a dimensão do problema, nem a extensão de eventuais ataques.

A resolução está do lado de quem gere os servidores. Não há muito que os utilizadores possam fazer e peritos têm aconselhado os utilizadores a não fazerem nada, até porque algumas acções podem agravar o problema: por exemplo, mudar uma palavra-passe faria com que esta circulasse na Internet, havendo a possibilidade de ser obtida, se o serviço em causa ainda estiver vulnerável.