Il problema di sicurezza che ha lasciato per mesi esposti i dati sensibili degli utenti è stato individuato ed è in corso l’aggiornamento dei servizi di rete a rischio.
Purtroppo non c’è modo di sapere se si è stati tra le vittime del furto di dati e il buon senso insegna che è meglio cautelarsi. L’operazione che suggeriamo è quella di cambiare la propria password d’accesso per i servizi più critici, gli account di posta elettronica, i servizi di cloud, l’home banking. In pratica quelli in cui un ipotetico furto di identità potrebbe mettere a rischio informazioni critiche (e proprietà).
Attenzione: è importante cambiare la password dopo che il fornitore del servizio ha chiuso la vulnerabilità ad Heartbleed, altrimenti si potrebbe essere nuovamente a rischio. Come fare per sapere quando è il momento giusto? Purtroppo consultando direttamente il singolo sito o il servizio per verificare l’avvenuta correzione.
I più importanti nomi della rete (con qualche omissione) hanno già segnalato le eventuali contromisure prese. Elenchiamo i principali, ricordando che le operazioni di aggiornamento sono ancora in corso e che altri nomi potrebbero aggiungersi alla lista o modificare la propria situazione.
Servizi internazionali
- Amazon: non cambiare password, non era vulnerabile
- Amazon Web Services: cambiare password, vulnerabilità riconosciuta e corretta
- Apple: non cambiare password, non era vulnerabile
- Dropbox: cambiare password, vulnerabilità riconosciuta e corretta. Commento
- Ebay: non cambiare password, non era vulnerabile
- Facebook: cambiare password, la società non ha riconosciuto la vulnerabilità
- Google: cambiare password, vulnerabilità riconosciuta e corretta. Commento
- IFTTT: cambiare password, vulnerabilità riconosciuta e corretta
- Instagram: cambiare password, vulnerabilità riconosciuta e corretta
- LinkedIn: non cambiare password, non era vulnerabile
- Microsoft: non cambiare password, non era vulnerabile
- Tumblr: cambiare password, vulnerabilità riconosciuta e corretta
- Twitter: non cambiare password, non era vulnerable. Commento
- Wunderlist: non cambiare password, non era vulnerabile
- Yahoo: cambiare password, vulnerabilità riconosciuta e corretta
Banche italiane
Abbiamo svolto un semplicissimo test utilizzando un servizio OpenSource per verificare il bug SLL sui servizi online delle seguenti banche italiane:
- bancaintesa.it
- bancamediolanum.it
- chebanca.it
- fineco.it
- gruppocarige.it
- ingdirect.it
- intesasanpaolo.it
- iwbank.it
- mps.it
- poste.it
- sella.it
- unicredit.it
- unicreditbanca.it
- webank.it
Tutte hanno superato il test, ovvero utilizzano la versione corretta della libreria ‘a rischio’, o si appoggiano a sistemi crittografici non vulnerabili. L’elenco degli istituti di credito italiani è ovviamente parziale e incompleto, il nostro era solo un rapido test. L’operazione di cambio delle password per i servizi più importanti, per quanto noiosa, è comunque una pratica da svolgere con regolarità e che suggeriamo caldamente.
(Articolo di pc-professionale)