Nas últimas semanas, foi amplamente divulgada a existência de uma falha de segurança que pode atingir boa parte dos usuários da internet. A falha é no sistema responsável pelas comunicações consideradas seguras (criptografadas) utilizado em boa parte dos serviços da internet, o OpenSSL, e pode permitir que informações sensíveis dos usuários da rede sejam enviadas a terceiros.
Neste contexto, a Secretaria Nacional do Consumidor do Ministério da Justiaça (Senacon/MJ) busca esclarecer algumas questões básicas de interesse do consumidor, bem como lhes fornecer recomendações sobre como se proteger.
O que é a falha de segurança Heartbleed?
Heartbleed é o nome que foi dado à falha de segurança que afeta a tecnologia utilizada para garantir conexões protegidas pela internet na sua implementação mais comum, a biblioteca OpenSSL. Ela incide, em especial, na execução do mecanismo conhecido como Heartbeat Extension dos protocolos TLS/DTLS (Transport Layer Security – Segurança da Camada de Transporte)
Esta vulnerabilidade permite a violação dos mecanismos de segurança de provedores de serviços e aplicações de serviços de Internet que se utilizem do OpenSSL, colocando em risco as informações dos usuários.
Como esta falha afeta as comunicações e a utilização da Internet?
A falha de segurança Heartbleed pode permitir o acesso não autorizado aos registros de sistemas que se protegem pela versão vulnerável do OpenSSL, permitindo, por exemplo (1) ter acesso a informações privadas do consumidor, como senhas e nomes de usuário; (2) acessar as chaves privadas usadas pelo servidor; (3) acesso ao conteúdo do tráfego criptografado.
Quem foi afetado? Todos os sites e aplicativos da internet?
Não foi toda a internet que foi afetada, embora esta falha tenha sido provavelmente a mais ampla e significativa até o momento. Foram afetados somente os provedores e sites que fazem uso das versões OpenSSL 1.0.1 a 1.0.1g.[1]
Recomendações
1. Para o consumidor:
a. Procure informar-se junto aos provedores de serviço que você utiliza para comunicar seus dados pessoais, em especial seus dados mais vulneráveis, como informações bancárias, íntimas, de saúde, sigilosas etc. Solicite informações sobre (a) se o serviço foi afetado pela falha de segurança Heartbleed; (b) Quais as medidas estão sendo tomadas; (c) O que pode e deve ser feito pelo próprio consumidor – como, por exemplo, a alteração de senhas;
b. Fique atento para eventuais comunicados informativos pelos provedores de serviços. Caso não haja essa comunicação, você pode entrar em contato por meio dos seus serviços de atendimento ao consumidor para obter as informações listadas no item a.
c. Monitore a ocorrência de atividades irregulares ou suspeitas em suas contas de correio eletrônico, redes sociais, Internet banking e outros serviços na rede. Caso verifique algo fora do usual, contate o respectivo serviço, solicitando informações sobre como proceder;
c. A falha Heartbleed não é um vírus ou um programa malicioso que possa ser “corrigida” instantaneamente, somente pelo usuário, em seu próprio computador. Diferentemente de um vírus, ela não se aloja propriamente em um computador, mas é parte integral do sistema de algumas comunicações deste com outros computadores por meio da internet. Dessa forma, o consumidor deve ficar atento a ofertas enganosas de serviços que busquem solucionar de forma cabal a questão;
f. Fique atento a e-mails recebidos solicitando alteração de senha e/ou nome de usuário. Se essa não foi a comunicação oficialmente utilizada pelo fornecedor do serviço, não forneça novos dados a um remetente desconhecido. Em especial, evite seguir links inseridos no correio eletrônico, sempre preferindo realizar a alteração de senhas indo diretamente ao site do serviço.
g. Os consumidores que optarem por alterar as senhas dos serviços antes de uma comunicação oficial pelos fornecedores devem ter em mente que a alteração da senha só será eficaz após a solução da falha de segurança. Havendo esse comunicado, o consumidor deverá alterar novamente suas informações.
2. Para os provedores de aplicações de serviço de Internet
Recomenda-se a informação ao consumidor se o serviço foi ou não afetado pela falha de segurança Heartbleed. Caso tenha sido, recomenda-se comunicar seus consumidores e clientes sobre a correção da falha e as medidas de proteção a serem tomadas por seus consumidores.
Caso o consumidor verifique irregularidade nos serviços na rede, ele poderá procurar os órgãos do Sistema Nacional de Defesa do Consumidor para se informar e exercer seus direitos referentes a eventuais prejuízos, lembrando que, sempre que se verificar uma relação de consumo, os provedores, sites e demais entes que se utilizarem da tecnologia sujeita a falhas são solidariamente responsáveis por eventuais danos.
Nas últimas semanas, foi amplamente divulgada a existência de uma falha de segurança que pode atingir boa parte dos usuários da internet. A falha é no sistema responsável pelas comunicações consideradas seguras (criptografadas) utilizado em boa parte dos serviços da internet, o OpenSSL, e pode permitir que informações sensíveis dos usuários da rede sejam enviadas a terceiros.
Neste contexto, a Secretaria Nacional do Consumidor do Ministério da Justiaça (Senacon/MJ) busca esclarecer algumas questões básicas de interesse do consumidor, bem como lhes fornecer recomendações sobre como se proteger.
O que é a falha de segurança Heartbleed?
Heartbleed é o nome que foi dado à falha de segurança que afeta a tecnologia utilizada para garantir conexões protegidas pela internet na sua implementação mais comum, a biblioteca OpenSSL. Ela incide, em especial, na execução do mecanismo conhecido como Heartbeat Extension dos protocolos TLS/DTLS (Transport Layer Security – Segurança da Camada de Transporte)
Esta vulnerabilidade permite a violação dos mecanismos de segurança de provedores de serviços e aplicações de serviços de Internet que se utilizem do OpenSSL, colocando em risco as informações dos usuários.
Como esta falha afeta as comunicações e a utilização da Internet?
A falha de segurança Heartbleed pode permitir o acesso não autorizado aos registros de sistemas que se protegem pela versão vulnerável do OpenSSL, permitindo, por exemplo (1) ter acesso a informações privadas do consumidor, como senhas e nomes de usuário; (2) acessar as chaves privadas usadas pelo servidor; (3) acesso ao conteúdo do tráfego criptografado.
Quem foi afetado? Todos os sites e aplicativos da internet?
Não foi toda a internet que foi afetada, embora esta falha tenha sido provavelmente a mais ampla e significativa até o momento. Foram afetados somente os provedores e sites que fazem uso das versões OpenSSL 1.0.1 a 1.0.1g.[1]
Recomendações
1. Para o consumidor:
a. Procure informar-se junto aos provedores de serviço que você utiliza para comunicar seus dados pessoais, em especial seus dados mais vulneráveis, como informações bancárias, íntimas, de saúde, sigilosas etc. Solicite informações sobre (a) se o serviço foi afetado pela falha de segurança Heartbleed; (b) Quais as medidas estão sendo tomadas; (c) O que pode e deve ser feito pelo próprio consumidor – como, por exemplo, a alteração de senhas;
b. Fique atento para eventuais comunicados informativos pelos provedores de serviços. Caso não haja essa comunicação, você pode entrar em contato por meio dos seus serviços de atendimento ao consumidor para obter as informações listadas no item a.
c. Monitore a ocorrência de atividades irregulares ou suspeitas em suas contas de correio eletrônico, redes sociais, Internet banking e outros serviços na rede. Caso verifique algo fora do usual, contate o respectivo serviço, solicitando informações sobre como proceder;
c. A falha Heartbleed não é um vírus ou um programa malicioso que possa ser “corrigida” instantaneamente, somente pelo usuário, em seu próprio computador. Diferentemente de um vírus, ela não se aloja propriamente em um computador, mas é parte integral do sistema de algumas comunicações deste com outros computadores por meio da internet. Dessa forma, o consumidor deve ficar atento a ofertas enganosas de serviços que busquem solucionar de forma cabal a questão;
f. Fique atento a e-mails recebidos solicitando alteração de senha e/ou nome de usuário. Se essa não foi a comunicação oficialmente utilizada pelo fornecedor do serviço, não forneça novos dados a um remetente desconhecido. Em especial, evite seguir links inseridos no correio eletrônico, sempre preferindo realizar a alteração de senhas indo diretamente ao site do serviço.
g. Os consumidores que optarem por alterar as senhas dos serviços antes de uma comunicação oficial pelos fornecedores devem ter em mente que a alteração da senha só será eficaz após a solução da falha de segurança. Havendo esse comunicado, o consumidor deverá alterar novamente suas informações.
2. Para os provedores de aplicações de serviço de Internet
Recomenda-se a informação ao consumidor se o serviço foi ou não afetado pela falha de segurança Heartbleed. Caso tenha sido, recomenda-se comunicar seus consumidores e clientes sobre a correção da falha e as medidas de proteção a serem tomadas por seus consumidores.
Caso o consumidor verifique irregularidade nos serviços na rede, ele poderá procurar os órgãos do Sistema Nacional de Defesa do Consumidor para se informar e exercer seus direitos referentes a eventuais prejuízos, lembrando que, sempre que se verificar uma relação de consumo, os provedores, sites e demais entes que se utilizarem da tecnologia sujeita a falhas são solidariamente responsáveis por eventuais danos.
