Os sistemas e sites da BRy Tecnologia, especializada em soluções para certificação digital, não são afetados pelo perigoso bug Heartbleed, do Open SSL, que tem atormentado grandes empresas da web como Google, Facebook, Dropbox e Amazon.
Os sistemas e sites da BRy Tecnologia, especializada em soluções para certificação digital, não são afetados pelo perigoso bug Heartbleed, do Open SSL, que tem atormentado grandes empresas da web como Google, Facebook, Dropbox e Amazon. Além de não utilizar as versões prejudicadas com o bug, os sistemas da BRy são imunes ao problema pois as chaves privadas dos usuários de certificação digital não ficam em memória, e sim armazenadas em um servidor HSM, que possui módulo de segurança criptográfica. Ou seja, uma vez hospedado em HSM, não há motivo para preocupação por roubo de dados.
Apesar do bug do Open SSL já ter sido corrigido com novas versões da biblioteca, ainda há muitas aplicações ao redor do mundo que não atualizaram os sistemas, ficando suscetíveis ao perigo. O Heartbleed deixou vulnerável cerca de 390 mil apps do Google Play e outros 1,3 mil apps. Entre eles estão programas de bancos, pagamentos online e e-commerce, justamente, onde os usuários fornecem senhas e números de cartão de crédito. Os dispositivos móveis também foram afetados pela ameaça.
O bug nada mais é do que uma falha na programação do Open SSL, que deixava o caminho aberto a atacantes externos – hackers – terem acesso a informações da memória dos servidores. Com isso, era possível chegar em conteúdos críticos como chaves SSL para comunicação segura em websites, permitindo a exposição de nomes de usuários, senhas e outros dados pessoais. A principal medida emergencial dos grandes sites da Internet afetados é orientar aos usuários trocarem as senhas de acesso, para o caso de terem sido comprometidas.
No BRy KMS, por exemplo, as informações sigilosas referente a certificados digitais dos usuários são armazenadas em nuvem, em um servidor HSM, o que inviabiliza qualquer ataque externo.
Se você quer obter mais informações sobre o tema, o site http://heartbleed.com/ traz alguns detalhes técnicos e discussões acerca da vulnerabilidade.