Canadense é preso por usar falha Heartbleed e roubar dados de contribuintes

Um jovem de 19 anos foi preso em London, cidade de Ontário (Canadá), sob suspeita de ter roubado 900 números de seguros sociais de contribuintes canadenses. Ele teria usado a Heartbleed, falha de segurança que dá acesso a dados de usuários em milhões de sites, para acessar o banco de dados da CRA, a “Receita Federal” do Canadá.

Stephen Arthuro Solis-Reyes foi preso em sua casa na última terça (15). O número de seguro social permite que residentes no Canadá realizem procedimentos administrativos nas principais agências do governo e tenham acesso a tratamentos em centros médicos, entre outros serviços.

O site da CRA ficou inacessível durante o último dia 8 de abril para correção da falha de segurança Heartbleed, porém Solis-Reyes teve acesso aos dados antes do governo solucionar o problema.

O jovem vai enfrentar as acusações de uso não autorizado de computador e uso indevido de informações. Se condenado, a pena máxima é de dez anos de prisão.

Falha “gravíssima”

A Heartbleed é uma falha na autenticação de segurança de sites que usam o software OpenSSL considerada “gravíssima” por especialistas de segurança.

Quando uma pessoa quer acessar um site, por exemplo, fazendo o login, o seu computador “conversa” com o servidor daquele serviço. Essa “conversa” é secreta e ocorre em códigos (conhecido como criptografia) para que ninguém saiba a senha digitada, nem os dados trocados depois desse acesso. A “conversa”, porém, deixa uma memória.

Cibercriminosos podiam ter acesso a essa memória, podendo interceptar os dados de logins, senhas, dados confidenciais, formulários enviados, números de cartão de crédito, entre outras informações.

O mais grave é que eles também poderiam tentar obter a chave privada da criptografia (o “código mestre” para decodificar quaisquer comunicações entre um computador e um servidor). Estima-se que dois terços dos sites no mundo foram afetados pela brecha de segurança, a qual permaneceu sem ser notada por cerca de dois anos.

Usuários têm pouco a fazer para se proteger contra a falha. Isso porque os sites é que precisam corrigi-la em seus servidores de autenticação. Porém, para evitar danos maiores, especialistas em segurança recomendam que as pessoas identifiquem se os sites usam o protocolo OpenSSL e mudem suas senhas.