Heartbleed no atendida viola ley en Mexico
Como ya a una semana es bien sonado el caso de heartbleed sin faltar las preguntas de: ya has arreglado la vulnerabilidad que llevamos por años pero es un tema reciente. Como resumen esta vulnerabilidad afecta a SSL lo que teoricamente nos portegia todos los datos enviados como un login, etc..
Tomemos en cuenta que SSL es usado por muchos diariamente simplemente al accesar a una red social, correo electronico, amazon, paypal, al realizar transacciones, etc... un ejemplo tan claro de SSL es como alguna vez alguien les dijo cuando veas que empieza la URL con https:// es que estas seguro (alguna vez escucharon a alguien decir eso :p) pues no no estabamos seguros n siquiera viendolo asi.
La desventaja de tener un sitio con est vulnerabilidad explotada, estan expuestos a que el atacante pueda ver toda comunicación entre cliente/servidor, valiendole gorro si estan cifradas o no. Ahora la mayor responsabilidad en este caso es de la empresa por que donde su servidor ofrece el servicio esta roto, vulnerable, no estan protegiendo la privacidad de la datos de sus usuarios. Se dice que el proveedor en México con este fallo debe de avisar a sus usuarios lo siguiente:
- Si el sitio cuenta con esta vulnerabilidad o no.
- Si cuenta con la vulnerabilidad, reportar a los usuarios si ya fue resuelta o el due date para resolverlo.
- Si ya fue resuelto informar a los usuarios que cambien le password. (muchos diran por que no cambiar el pasword antes, que sentido tendria si el atacante sigue explotando la vulnerabilidad)
Para esto caso es recomendable que los usuarios no cambien contraseñas, no envien transaciones financieras, ni utilizar datos personales hasta que el proveedor mencione los puntos mencionados anteriormente, ya que el us, usuario promedio desconoce, desconocera por los siglos de los siglos si el sitio es vulnerable o no, asi que es responsabilidad de la empresa notificar.
¿Que empresa Mexicana te ha reportado sobre este fallo?
1 comentarios:
En estos enlaces pueden revisar los sitios vulnerables:
https://filippo.io/Heartbleed/
https://lastpass.com/heartbleed/
Publicar un comentario