Resposta da Wikimedia à vulnerabilidade de segurança “Heartbleed”

Logótipo do erro Heartbleed

A 7 de abril, revelou-se um problema generalizado num componente central da segurança da Internet (OpenSSL). A vulnerabilidade já foi corrigida em todas as wikis da Wikimedia. Se só lê a Wikipédia sem se ter registado, nada lhe é pedido. Se tem uma conta de utilizador numa wiki Wikimedia, vai ser necessário que volte a iniciar sessão na próxima vez que a utilizar.

O problema, denominado Heartbleed, permitia que utilizadores mal intencionados tivessem acesso a dados sensíveis em qualquer site que estivesse a utilizar uma versão vulnerável deste software. As Wikis hospedadas pela Wikimedia estiveram vulneráveis durante várias horas depois da comunicação desta falha. Contudo, não temos qualquer prova de que os nossos sistemas ou os dados dos nossos utilizadores tenham sido afetados, e dada a forma como os nossos servidores estão configurados, teria sido muito difícil explorar esta vulnerabilidade de modo a roubar passwords dos nossos utilizadores.

Depois de termos tido conhecimento desta vulnerabilidade, começámos a atualizar todos os nossos sistemas com versões corrigidas. A seguir, começámos a substituir os certificados SSL críticos e redefinimos todos os tokens de sessão de utilizador. Veja o cronograma da nossa resposta abaixo.

Todos os utilizadores com sessão iniciada enviam um token secreto a cada pedido ao site. Se uma pessoa mal-intencionada fosse capaz de intercetar este token, poderia fazer-se passar por esse utilizador. Ao repor todos os tokens, forçamos os utilizadores a ligarem-se aos nossos servidores utilizando a versão atualizada e corrigida do firmware OpenSSL, eliminando assim a possibilidade deste ataque.

Recomendamos que altere a sua password como forma de precaução padrão, mas não tencionamos impor esta mudança a todos os utilizadores. Novamente, não há nenhum indício que indique que os utilizadores da Fundação Wikimedia tenham sido atacados, mas queremos que todos os nossos utilizadores estejam tão seguros quanto possível.

Obrigado pela sua compreensão e paciência.

Greg Grossmeier, em nome das equipas da WMF Operations and Platform

Cronologia da resposta da Wikimedia

(Os horários estão em UTC)

7 de abril:

8 de abril:

9 de Abril:

10 de Abril:

Perguntas mais frequentes

(Esta secção será expandida caso seja necessário)

  • Porque é que a data “não válido antes de” não mudou no certificado SSL se já o substituíram?
    O nosso provedor de certificados SSL conserva a data original “não válido antes de” (algumas vezes chamado, ainda que incorretamente, “publicado em”) em qualquer certificado substituído. Não se trata de una prática incomum. Para além de observar as mudanças nos ficheiros .pem que têm um link acima, na cronologia, pode-se também verificar que a substituição foi levada a cabo comparando a assinatura digital (fingerprint) do novo certificado com a do anterior.