Izgleda da je ranjivost SSL protokola, pod nazivom Heartbleed, mnogo opasnija, nego što su stručnjaci pretpostavljali. CloudFare, kompanija koja se bavi distribucijom sadržaja, je objavila da njeni stručnjaci nisu uspeli da dođu u posed privatnih ključeva koje se razmenjuju putem SSL protokola na Web-serveru. Cloudfare je, nakon toga, uputio javan izazov svim „belim“ hakerima da pokušaju da obore njihovu tvrdnju, tj. dođu do privatnih SSL ključeva na njihovom web-sajtu.
Na žalost svih nas, samo 9 sati nakon što su objavili izazov, javio se Fedor Indutny, haker koji pripada Node.js udruženju, i preko svog Twitter naloga objavio dokaze da je uspeo da nabavi privatne SSL ključeve. Vrlo brzo, nakon njega, javilo se još par ljudi iz hakerske zajednice sa istim vestima. Inače, Fedoru je poslao 2.5 miliona zahteva serveru, da bi došao u posed ove informacije.
Just cracked @CloudFlare ’s challenge: https://t.co/8ZPSxyKF4D . I wonder when they’ll update the page.
— Fedor Indutny (@indutny) April 11, 2014
Zašto je ovo loše? Pa, čak i kada administratori primene softverske zakrpe za server, još uvek je moguće pristupiti privatnim SSL ključevima koji u sebi mogu da sadrže vaše lozinke, kreditne kartice ili druge senzitivne informacije. CloudFare je vrlo brzo priznao svoju grešku, i rekao da će ubrzati zamenu privatnih ključeva, da bi izbegli curenje podataka.
U svakom slučaju, naš savet je da promenite sve lozinke koje imate na društvenim mrežama, ili bilo kojim drugim cloud servisima, iz predostrožnosti.
