Según un reporte de Bloomberg basado en dos fuentes anónimas con conocimiento del tema, la Agencia Nacional de los Estados Unidos (NSA) desde hace dos años ya conocía de la existencia del bug Heartbleed de la libreria de OpenSSL y además también indican que se aprovechó del mismo para obtener información crítica para su tarea de inteligencia.
Bloomberg informa que la decisión de mantener en secreto la existencia de la falla en OpenSSL fue en defensa de los intereses de seguridad nacional.
Esto indica que durante dos años pudieron haber ingresado infinidad de veces y obtenido información sin que nadie supiera nada, ya que aparentemente luego del acceso a la memoria de los sistemas afectados, no queda rastro en los logs del sistema.
Heartbleed es uno de los fallos más grandes de la historia de Internet, el cual permite que cualquier persona con los conocimientos necesarios, pueda burlar servidores con las versiones 1.0.1 y 1.0.2-beta, incluidas las versiones 1.0.1f y 1.0.2-beta1, de OpenSSL. Esto pone en serio compromiso las claves secretas que se utilizan para cifrar el tráfico que en algunos casos incluye nombres y contraseñas de usuario, como así también con las claves pueden acceder fácilmente a otros datos también sensibles, como números de tarjetas de crédito, direcciones, números de teléfono y más.
Pero esto no termina aquí, Bloomberg también reporta que la NSA conocería miles de vulnerabilidades tan o más peligrosas que Heartbleed y que se pueden utilizar para burlar las defensas de los cualquier sistema.
Imagen | NSA Headquarters Wikimedia Commons