Servicios SSL Vulnerados

Hace tiempo que venimos recibiendo información de servicios vulnerados, aquellos que pueden dejar nuestras credenciales al descubierto.

Hoy en concreto he recibido un email de un servicio que aunque no uso a menudo si que sigo suscrito, ya que considero que no puedes hablar de lo que no conoces.

El caso es que a menudo nos enteramos de los problemas una vez han pasado o el servicio se ha resstablecido y éste ha sido el primer aviso de una empresa seria que recibo.

Os paso una traducción de http://translate.google.es

Ponga el Internet a trabajar para usted.
Hola miguelthepooh,

Una vulnerabilidad importante en la tecnología que impulsa de cifrado a través de gran parte de la internet fue descubierto esta semana. Al igual que muchos otros equipos, tomamos acción inmediata para reparar la vulnerabilidad en nuestra infraestructura.

IFTTT ya no es vulnerable.

Aunque no tenemos pruebas de comportamiento malicioso, hemos tomado la precaución adicional de que la sesión en IFTTT en la web y móvil. Le recomendamos que cambie su contraseña, no sólo en IFTTT, sino en todas partes, ya que muchos de los servicios que usted ama se vieron afectados.

Si usted tiene alguna pregunta o inquietud, por favor escriba [email protected].

-El Equipo IFTTT

Para más información sobre este tema:  The Bug Heartbleed podéis visitar este site.

Poco después recibo un aviso similar desde Wunderlist:

Recordar que los servicios que se apoyan en PHP usan estos entornos para garantizar la seguridad, por lo que la recomendación se debería extender a todos los servicios incluidos Blogger, wordpress, joomla y todos los que no tengamos una contraseña completamente segura... (aún si es segura la recomendación será el modificarla)

Así que mi recomendación es que hagáis una pasada por todos los servicios que contienen información personal y cambiéis la contraseña… recordad que lo ideal será aquella contraseña que contenga más de seis dígitos, mayúsculas y minúsculas y números y/o símbolos

Adjunto la Noticia publicada en El Pais donde se anuncia la vulnerabilidad de las conexiones SSL de servidores con software anticuado. http://tecnologia.elpais.com/tecnologia/2014/04/09/actualidad/1397069299_064149.html Existe actualización del software… El problema es que lleva tres años indetectada y no comocemos el alcance, por lo que lo más lógico sería el cambio de las contraseñas en el momento que sepamos que el software está actualizado

Y un fallo en el código puede crear una vulnerabilidad. “Una cosa es elbug, es decir, el fallo en el código, y otra es el exploit, la manera de sacar partido del fallo”, detalla Alonso. Hay páginas web donde se pueden conseguir exploits, programas que permiten sacar partido de las grietas de seguridad. Pero “no se conocen incidencias todavía”, explica con calma Unanue. Quiere decir que no se sabe de ningún delincuente que haya aprovechado para obtener información de usuarios.