Um programador alemão assumiu que criou o bug HeartBleed por acidente. O funcionário da companhia de softwares T-Systens (uma unidade da Deutsche Telekom) informou no blog da empresa que inseriu o bug no código-fonte aberto OpenSSL quando estava tentando melhorá-lo. O erro acidental resultou no abalo da indústria de segurança e serviços da web nos últimos dias e uma corrida de troca de senhas.
Programador que inseriu o bug Heartbleed trabalha em uma empresa de softwares alemã (Reprodução/HeartBleed.com)
"Na conexão com uma extensão, a extensão TLS/DTLS Heartbeat. Eu errei ao checar aquele variável particular, que continha um valor real. Isso que causou o bug, chamado Heartbleed", disse o funcionário no blog da empresa. De acordo com ele, o desenvolvedor OpenSSL, que deveria revisar o código também não percebeu o erro e passou adiante.
A T-Systens não quis identificar o funcionário, que ainda trabalha na empresa. Mas, segundo o The Wall Street Jounal, um um porta-voz da Deutsche Telekom, Alexia Sailer, disse que o responsável pelo erro teria sido o engenheiro Robin Seggelmann. Segundo Sailer, ele já havia trabalhado em OpenSSL, enquanto estudava em uma universidade técnica em Münster.
No post realizado no blog da T-System, o funcionário confirmou ter experiência com o código-fonte afetado. “O erro não foi intencional, (...) eu tinha consertado bugs em OpenSSL e estava tentando contribuir com o projeto”, informou.
O HeartBleed é uma falha de criptografia que afeta o OpenSSL 1.0.1 e a versão 1.0.2- beta. A primeira versão é muito usada na Internet, inclusive por diversos sites e serviços populares, como e-mail e redes sociais.
Um identificador informa quais sites podem ter sido afetados pelo bug HeratBleed (Reprodução/LastPass)
A falha pode permitir que hackers visualizem a comunicação feita por meio de páginas HTTPS (indicadas com um pequeno cadeado fechado na barra de endereços do navegador), que, até então, eram consideradas seguras. Ficam em risco, por exemplo, senhas, chaves de criptografia e dados de identificação pessoal.
Diversos sites, como Facebook, YouTube, Tumblr, Reddite Instagram disseram já ter corrigido o erro de segurança. O usuário da Internet pode conferir se um site foi afetado pelo bug através de um verificador chamado verificador Heartbleed LastPass.
Fonte: Tech Tudo.
0 comentários:
Os comentários serão moderados antes de publicar! respondo todos, obrigado por comentar.