La gente de Cloudflare admitió desde un principio que el bug Heartbleed era bastante grave, sin embargo, dijo que robar las llaves SSL de un servidor afectado por el bug sería muy difícil, y casi imposible de hacerlo en los servidores NGINX. Para demostrar lo dicho, crearon un reto que consistían en que investigadores intenten robar sus llaves de cifrado de su servidor, y dicho y hecho, ha sucedido.
El CEO de Cloudflare, Matthew Prince, acaba de confirmar que dos investigadores consiguieron robar las llaves de sus servidores usando el bug de OpenSSL bautizado como Heartbleed. El primero, Fedor Indutny, avisó desde Twitter que había conseguido el objetivo, y ahora la compañía lo ha confirmado.
Esto quiere decir que los datos de transferencia entre un servidor y un ordenador podrían ser descifrados por un atacante que esté grabando el intercambio de comunicación privada. Por lo tanto, ahora más que nunca es importante que cambies tu contraseña en servicios que hayan confirmado haber usado la versión afectada de OpenSSL, porque un atacante podría haber robado tus datos no sólo de la memoria, sino también mientras estaban en tránsito.
Entre los servicios afectados se incluye Google, Yahoo, Facebook, Instagram, AWS, GoDaddy, y muchos otros. Sin embargo, no debes apurarte a cambiar la contraseña hasta que esas compañías confirmen haber parchado OpenSSL y cambiado sus llaves SSL así como los certificados para HTTPS.
Looks like @indutny got the challenge key! (Which is both exciting and terrifying.) Haven’t confirmed used #heartbleed. Updates soon!
– Matthew Prince (@eastdakota) April 12, 2014
Fuente: engadget.com