Vários bancos e instituições encontranm-se neste momento vulneráveis a ataques informáticos que podem colocar em risco os seus dados – mesmo que use uma ligação SSL.
Este incidente de segurança, chamado Poodle (CVE-2014-3566) apresenta uma falha no protocolo SSL (versão 3) descoberta pelo Google há poucos dias.
Com a exploração desta falha, é possível mesmo usando uma ligação SSL – endereços que comecem por https, como os bancos ou as finanças – aceder a informações pessoais transmitidas por esta via.
Á hora a que este artigo foi colocado online, emitir recibos eletrónicos nas finanças ou fazer transacções bancárias no BPI, Montepio, CGD, Santander Totta, Barclays, Banco BIG entre outros bancos, ou mesmo consultar o seu correio digital no site VIA CTT não é uma opção segura neste momento.
Recomenda-se a visita a esta página, que actualiza de 5 em 5 minutos os sites vulneráveis com mais importância em relação ao uso de SSL.
O autor da página, João Miguel Neves, disse ao Tugaleaks ontem à noite que “neste momento Millennium, Novo Banco, Banco Best e Activo Bank já corrigiram. A Segurança Social corrigiu vários dos sites ainda de manhã. O que demonstra que há profissionais atentos e sistemas que permitem actualizações de segurança rápidas. Estamos nas primeiras 24h da notificação desta vulnerabilidade, pelo que espero que durante as próximas horas mais entidades aproveitem janelas de manutenção nocturnas. Amanhã teremos uma ideia melhor de quem está preparado ou não para dar uma resposta rápida na protecção dos seus clientes/utilizadores”.
Já no dia de hoje, confirmam-se ainda mais de meia dezena de bancos vulneráveis.
João Miguel Neves indicou também que esta vaga de falhas de segurança no protocolo SSL “é apenas a última de uma série de falhas que estão a ser identificadas e corrigidas após as revelações dos programas de NSA/GCHQ que começaram com o Edward Snowden. Na minha opinião não será a última“.
A página de João Miguel Neves tem instruções para os utilizadores finais corrigirem os seus próprios browsers. Neste momento o Mozilla FireFox é o mais fácil de corrigir.
Lembre-se: se o site do seu banco aparecer vulnerável neste teste, não efectue login ou transacções online.
ACTUALIZAÇÃO 4:25: Alguns dos bancos citados já actualizaram os seus sistemas para corrigir esta falha