NSA usou bug Heartbleed para roubar dados, diz Bloomberg
Agência nega ter tido conhecimento da falha
A Agência de Segurança Nacional dos Estados Unidos (NSA) explorou a falha chamada de Heartbleed, usando-a para coletar informações sensíveis de diversos sites. As informações são da Bloomberg, que ouviu duas fontes familiares com o assunto, que não foram reveladas.
O bug Heartbleed, descoberto pelo analista Neel Mehta, do Google, veio à tona nesta semana. Ele é uma falha no OpenSSL, linguagem mais popular do mundo para criptografar, em sites e serviços online, o nome de acesso e senha dos usuários. Seus certificados digitais podem ser encontrados em serviços de e-mails, redes sociais e sistema bancário. Com o bug, hackers podem visualizar senhas, os nomes de acesso e documentos criptografados dos usuários, além de permitir que armazenem as chaves de criptografia.
O bug existe há dois anos, e só foi revelado agora. A Bloomberg afirma que a NSA descobriu a falha pouco depois de ela aparecer, em 2012, e decidiu mantê-la em segredo para buscar ameaças aos interesses de segurança do país. Com o bug, a agência pode roubar senhas e outros dados que são a base para operações sofisticadas de hackers, o que deixou milhões de usuários comuns vulneráveis a ataques de outras agências de inteligências e cibercriminosos.
Vanee Vines, uma porta-voz da NSA, não quis comentar com a publicação sobre o assunto. Especialistas dizem que a busca por bugs, como o Heartbleed, são parte central da missão da NSA, apesar da prática ser controversa.
Depois de a Bloomberg ter publicado a matéria, a NSA emitiu um comunicado negando ter tido conhecimento do bug antes desta semana. “O governo federal depende do OpenSSL para proteger a privacidade de usuários de sites de governo e outros serviços online. Esta administração leva a sério sua responsabilidade de ajudar a manter uma internet aberta, interoperável, segura e confiável. Se o governo federal, incluindo a comunidade de inteligência, tivesse descoberto a vulnerabilidade antes desta semana, teria divulgado à comunidade responsável pelo OpenSSL”, diz o comunicado.