Dois anos depois de ser descoberta e corrigida, a vulnerabilidade Heartbleed ainda afeta quase 200.000 sites no mundo tudo, segundo um levantamento realizado pela ferramenta Shodan.
O relatório publicado na semana passada aponta um total de 199.594 servidores expostos à falha de segurança no OpenSSL, com mais de 5 mil deles localizados no Brasil.
O Heartbleed nasceu de um defeito banal no código-fonte do no módulo de encriptação OpenSSL e tomou proporções catastróficas para empresas e organizações em 2014. De uma hora para outra cerca de 300.000 servidores estavam vulneráveis a um ataque que poderia capturar dados diretamente da memória das máquinas, mesmo aquelas supostamente criptografadas: senhas, números de cartão de crédito e até certificados de segurança. Não foram poucos os relatos de ataque que aproveitaram essa brecha.
Apesar da atualização do OpenSSL que corrigiu a falha de segurança, dois anos se passaram e o número de servidores que ainda estão expostos ao problema caiu em apenas 33%. A maioria deles funciona nos Estados Unidos e o protocolo HTTPS, aparentemente seguro, é o mais afetado. Em um momento em que organizações e navegadores lutam para ampliar a adoção do protocolo, administradores de sites seguem adotando práticas que colocam em risco a segurança dos usuários, não instalando uma atualização que existe há anos.
Felizmente, desde a publicação do relatório da ferramenta de busca de vulnerabilidades, o número de servidores suscetíveis ao Heartbleed caiu de 199 mil para 180 mil. Entretanto, essa mobilização ainda é insuficiente diante da gravidade do problema.