Dois meses depois da descoberta do bug Heartbleed, brecha de segurança que permite que hackers roubem senhas de usuários em muitos sites da web e aplicativos móveis e que infestou a internet em abril deste ano, a Errata Security, empresa de consultoria em segurança da informação, calcula que mais de 300 mil servidores conectados à internet no mundo continuem vulneráveis a ataques — quando foi descoberto, estimava-se que 600 mil sistemas haviam sido afetados.
O bug Heartbleed — algo como hemorragia cardíaca — é uma falha no OpenSSL, protocolo de criptografia usado na internet para proteger informações sigilosas. Ela permite que trechos da memória do servidor de um site sejam "lidos" por um hacker, revelando dados como senhas, nomes de usuário, informações sigilosas presentes nas páginas ou até mesmo a chave privada do servidor, usada para proteger a comunicação.
De acordo com o analista da Errata Security, Robert Graham, a constatação foi feita após uma varredura em servidores web e outros dispositivos conectados. "Verificamos que mais de 300 mil ainda estavam abertos aos ataques e que essa situação ainda persistia após uma varredura em 20 de junho. Agora, 309.197 ainda estão vulneráveis", acrescentou ele ao jornal britânico The Guardian.
"Isso indica que as pessoas pararam de tentar consertar [a falha]. Devemos ver uma redução pequena ao decorrer da década conforme os sistemas antigos vão sendo substituídos aos poucos. Mesmo daqui a dez anos, porém, espero encontrar milhares de sistemas, inclusive críticos, ainda vulneráveis", afirmou o especialista em um post em seu blog.
O Heartbleed pode ser corrigido por meio da atualização do OpenSSL, o que pode ser feito seguindo as instruções corretas no site oficial do projeto de código aberto ou por meio da atualização de sistemas operacionais que carregam o código. Qualquer sistema que ainda esteja em execução está vulnerável e, por isso, suas chaves de criptografia também devem ser atualizadas.
Outros dispositivos, além de servidores web, também podem ser atacados se a brecha de segurança não for corrigida. Estes incluem câmeras de circuito fechado de TV (CCTV), webcams, babás eletrônicas e aplicações móveis. Os hackers podem roubar as chaves de criptografia e outros dados de máquinas vulneráveis enviando solicitações com malwares que enganam o sistema.
"É provável que as pessoas não estejam fazendo a correção por 'simples ignorância sobre a importância da tarefa'", disse James Lyne, diretor global de pesquisa sobre segurança da Sophos. "Vemos isso todos os dias com ataques na web, que são triviais para corrigir", diz ele, acrescentando que cerca de 30 mil novos sites são hackeados por dia.