Uma nova falha na internet está levantando suspeitas de ser tão grave quanto a Heartbleed que atingiu o OpenSSL em 2014. Nesta quinta-feira, 9, foi encontrada uma vulnerabilidade em cerca de mil sites que utilizam conexão HTTPS que pode vazar dados sensíveis dos usuários no mundo inteiro.

De acordo com um documento da Cloudflare, publicado pelo analista Filippo Valsorda, a falha está ligada a firewalls e balanceadores de carga BIG-IP, da F5. Um atacante poderia explorar esta brecha para enviar pacotes específicos de dados e obter “pedaços” de informações guardadas nesses servidores.

Com algumas requisições bem-sucedidas, o hacker poderia obter informações sensíveis a partir desses pedaços, como se fosse um quebra-cabeças. Valsorda disse ao site Ars Technica que os atacantes ainda poderiam conseguir chaves de criptografia usadas pelas conexões dos usuários para tomar suas sessões HTTPS.

O analista não entrou em detalhes sobre os sites que estão expostos à vulnerabilidade, mas é possível acessar uma lista por meio de uma ferramenta indicada por ele. E uma das páginas incluídas é também um dos meios de compra online mais utilizados pelo brasileiro: o Mercado Livre, nas versões de vários países, incluindo o Brasil.

• www.adnxs.com
• www.aktuality.sk
• www.ancestry.com
• www.ancestry.co.uk
• www.blesk.cz
• www.clarin.com
• www.findagrave.com
• www.mercadolibre.com.ar
• www.mercadolibre.com.co
• www.mercadolibre.com.mx
• www.mercadolibre.com.pe
• www.mercadolibre.com.ve
• www.mercadolivre.com.br
• www.netteller.com
• www.paychex.com

Por enquanto, não há muitos detalhes sobre a vulnerabilidade. Segundo o Ars Techinca, um dos domínios afetados inicialmente, o adnx.com, disse que já resolveu o problema, apesar de não ter explicado como – pode ter mudado o tipo de firewall utilizado, por exemplo.

Valsorda também não explicou que tipo de dados podem ser extraídos ao explorar a falha. Ele apenas explicou que a descoberta foi feita sem querer, depois que clientes reclamaram de algumas mensagens de erro ao utilizarem o equipamento da F5.

Por se tratar de um software proprietário, é possível que a correção demore para chegar, diferente do que vimos com o OpenSSL, que é uma tecnologia de código aberto.