Ovaj bug omogućava hakerima da se domognu kriptografskih ključeva koji se koriste za sigurne transakcije prilikom online kupovine i spajanja na web servise.
Primjerice, Yahoova blogerska platforma Tumblr savjetovala je korisnicima da "svugdje promijene svoje lozinke", posebice na servisima kao što su e-mail, servisi za pohranu datoteka i servisi za bankovne transakcije.
Prema pisanju BBC-a, stotine, pa čak i tisuće poslužitelja (servera) imaju taj bug. Osim Yahooa, imali su ga i Imgur, OKCupid i drugi.
O čemu se radi? Proizvod koji se koristi za zaštitu podataka može se ugroziti na način da omogući prisluškivanje. Naime, OpenSSL je popularan način kriptografske zaštite koji se koristi za digitalno prebacivanje osjetljivih podatka dok oni prolaze od i do poslužitelja, tako da samo pošiljatelj i primatelj može imati uvid u te podatke. Na taj način onemogućeno je presretanje povjerljivih podataka.
Mnogi korisnici ovu tehnologiju poznaju u vidu slike malog "lokota" na dnu internet preglednika , što ukazuje na to da je stranica sigurna.
Nažalost, tim od tri sigurnosna istraživača napravio je fatalni propust u jezgri (core) neke od verzija OpenSSL-a koji je hakerima, unatrag dvije godine, omogućio da kradu lozinke i druge osobne podatke i to posve neprimjetno, ne ostavljajući pritom nikakav trag. TechCrunch je naveo da se nažalost ne može znati koje su informacije tijekom tog razdoblja prikupljene.
Softverska mana u međuvremenu je ispravljena, a tehnološke kompanije upozorile su svoje korisnike, međutim prekasno je ako su vaše komunikacije pratili hakeri u nekom trenutku tijekom posljednje dvije godine.
Sigurnosna tvrtka NCC Group upozorila je da je u posljednja dva dana postalo znatno lakše iskoristiti taj propust.
"Razina znanja koja je sada potrebna da bi se iskoristio ovaj propust je znatno manja nego što je bila prije 36 sati", rekli su za BBC.
Poslužitelji koji poprave ovaj propust uz pomoć 'zakrpe' koju je ponudio OpenSSL, morat će također nadograditi sve svoje ključeve ili će i dalje biti sigurnosno ugroženi. Sigurnosni stručnjaci savjetuju stoga da promijenite lozinke na vašim web servisima.
