Nas últimas semanas, foi amplamente divulgada a existência de uma falha
de segurança que pode atingir boa parte dos usuários da internet. A
falha é no sistema responsável pelas comunicações consideradas seguras
(criptografadas) utilizado em boa parte dos serviços da internet, o
OpenSSL, e pode permitir que informações sensíveis dos usuários da rede
sejam enviadas a terceiros.
Neste contexto, a Secretaria Nacional do Consumidor do Ministério da
Justiaça (Senacon/MJ) busca esclarecer algumas questões básicas de
interesse do consumidor, bem como lhes fornecer recomendações sobre como
se proteger.
O que é a falha de segurança Heartbleed?
Heartbleed é o nome que foi dado à falha de segurança que afeta a
tecnologia utilizada para garantir conexões protegidas pela internet na
sua implementação mais comum, a biblioteca OpenSSL. Ela incide, em
especial, na execução do mecanismo conhecido como Heartbeat Extension
dos protocolos TLS/DTLS (Transport Layer Security – Segurança da Camada
de Transporte)
Esta vulnerabilidade permite a violação dos mecanismos de segurança de
provedores de serviços e aplicações de serviços de Internet que se
utilizem do OpenSSL, colocando em risco as informações dos usuários.
Como esta falha afeta as comunicações e a utilização da Internet?
A falha de segurança Heartbleed pode permitir o acesso não autorizado
aos registros de sistemas que se protegem pela versão vulnerável do
OpenSSL, permitindo, por exemplo (1) ter acesso a informações privadas
do consumidor, como senhas e nomes de usuário; (2) acessar as chaves
privadas usadas pelo servidor; (3) acesso ao conteúdo do tráfego
criptografado.
Quem foi afetado? Todos os sites e aplicativos da internet?
Não foi toda a internet que foi afetada, embora esta falha tenha sido
provavelmente a mais ampla e significativa até o momento. Foram afetados
somente os provedores e sites que fazem uso das versões OpenSSL 1.0.1 a
1.0.1g.[1]
Recomendações
1. Para o consumidor:
a. Procure informar-se junto aos provedores de serviço que você utiliza
para comunicar seus dados pessoais, em especial seus dados mais
vulneráveis, como informações bancárias, íntimas, de saúde, sigilosas
etc. Solicite informações sobre (a) se o serviço foi afetado pela falha
de segurança Heartbleed; (b) Quais as medidas estão sendo tomadas; (c) O
que pode e deve ser feito pelo próprio consumidor - como, por exemplo, a
alteração de senhas;
b. Fique atento para eventuais comunicados informativos pelos
provedores de serviços. Caso não haja essa comunicação, você pode entrar
em contato por meio dos seus serviços de atendimento ao consumidor para
obter as informações listadas no item a.
c. Monitore a ocorrência de atividades irregulares ou suspeitas em suas
contas de correio eletrônico, redes sociais, Internet banking e outros
serviços na rede. Caso verifique algo fora do usual, contate o
respectivo serviço, solicitando informações sobre como proceder;
c. A falha Heartbleed não é um vírus ou um programa malicioso que possa
ser “corrigida" instantaneamente, somente pelo usuário, em seu próprio
computador. Diferentemente de um vírus, ela não se aloja propriamente em
um computador, mas é parte integral do sistema de algumas comunicações
deste com outros computadores por meio da internet. Dessa forma, o
consumidor deve ficar atento a ofertas enganosas de serviços que busquem
solucionar de forma cabal a questão;
f. Fique atento a e-mails recebidos solicitando alteração de senha e/ou
nome de usuário. Se essa não foi a comunicação oficialmente utilizada
pelo fornecedor do serviço, não forneça novos dados a um remetente
desconhecido. Em especial, evite seguir links inseridos no correio
eletrônico, sempre preferindo realizar a alteração de senhas indo
diretamente ao site do serviço.
g. Os consumidores que optarem por alterar as senhas dos serviços antes
de uma comunicação oficial pelos fornecedores devem ter em mente que a
alteração da senha só será eficaz após a solução da falha de segurança.
Havendo esse comunicado, o consumidor deverá alterar novamente suas
informações.
2. Para os provedores de aplicações de serviço de Internet
Recomenda-se a informação ao consumidor se o serviço foi ou não afetado
pela falha de segurança Heartbleed. Caso tenha sido, recomenda-se
comunicar seus consumidores e clientes sobre a correção da falha e as
medidas de proteção a serem tomadas por seus consumidores.
Caso o consumidor verifique irregularidade nos serviços na rede, ele
poderá procurar os órgãos do Sistema Nacional de Defesa do Consumidor
para se informar e exercer seus direitos referentes a eventuais
prejuízos, lembrando que, sempre que se verificar uma relação de
consumo, os provedores, sites e demais entes que se utilizarem da
tecnologia sujeita a falhas são solidariamente responsáveis por
eventuais danos.
Nenhum comentário:
Postar um comentário