A rede de distribuição de conteúdo Cloudflare mal acabou de oferecer alguma esperança para aqueles afetados pela falha de segurança Heartbleed, anunciando que o bug pode não ser tão grave quanto se temia, dois hackers provaram o contrário.
Depois de duas semanas de testes, a Cloudflare disse que seus pesquisadores não conseguiram explorar o bug para roubar chaves SSL privadas de um site, que protege os dados enviados para os usuários. Para tentar , a empresa lançou um desafio para que hackers tentassem conseguir as chaves de segurança e dois deles conseguiram.
A empresa anunciou que os hackers Ilkka Mattila e Fedor Indutny conseguiram rastrear as chaves SSL. Indutny ainda foi ao Twitter para revelar seu sucesso:
Just cracked @CloudFlare ’s challenge: https://t.co/8ZPSxyKF4D . I wonder when they’ll update the page.
— Fedor Indutny (@indutny) April 11, 2014
A notícia traz mais preocupações para usuários do mundo inteiro. Mesmo depois do servidor fazer um patch para a vulnerabilidade Heartbleed, as chaves privadas podem continuar a ser usadas para acessar dados do usuário, a menos que quem está executando o servidor atualize seu certificado de segurança.
A notícia também contradiz diretamente uma alegação anterior da Cloudflare de que “poderia ser impossível” roubar as chaves. A empresa ainda tem que emitir uma declaração oficial, mas segundo o site do desafio, mais detalhes devem ser oferecidos em breve.