Il Wall Street Journal suggerisce di sì: meglio cambiare le password su Facebook, Yahoo, Tumblr e Gmail di Google, aziende che comunque hanno provveduto ad aggiornare la sicurezza.
Sono le conseguenze di Heartbleed, "cuore sanguinante", la grave falla scoperta all'interno di OpenSSL, il sistema per criptare le comunicazioni utilizzato su circa due terzi dei server - e non solo i server - di Internet.
Quello, per intendersi, indicato con il lucchettino e la "s" attaccata alla fine dell'acronimo "http" nell'indirizzo url del sito e che avrebbe dovuto mettere al sicuro password e credenziali di accesso ai servizi più importanti.
Alcune società (tra cui Google, Facebook, Microsoft) hanno potuto provvedere ad aggiornare i sistemi di sicurezza prima del 7 aprile, quando la falla era ancora il segreto più grande nella storia del web. Altre, tra cui Yahoo e Amazon, sono dovute correre ai ripari dopo l'annuncio, diffuso in fretta e furia per paura che la notizia stesse per trapelare tramite altri canali non ufficiali, dando un pericoloso vantaggio a eventuali hacker.
Ma per due anni questa porta è rimasta aperta lasciando indisturbato chi sapesse trovarla. Fino a quando Google e un'azienda finlandese, la Codenomicon, l'hanno scoperta o, quanto meno, hanno comunicato di averla individuata facendo gelare il sangue a mezzo mondo che si era fidato della sicurezza vantata da SSL prima della rivelazione.
Dovrebbero stare più tranquilli invece gli utenti Apple. In un comunicato infatti l'azienda di Cupertino ha confermato di non avere riscontrato problemi legati a Heartbleed nei suoi servizi online né nei sistemi operativi OS X per i Mac e iOS per iPhone e iPad. Ma un utente apple può aver benissimo utilizzato servizi di altre aziende che hanno i server "col buco".
L'errore: OpenSSL è un sistema open source che periodicamente viene aggiornato con migliorie al suo codice. Proprio durante uno di questi aggiornamenti effettuato il 31 dicembre 2011 fu introdotta per errore la falla. Uno dei responsabili dell'errore è stato il programmatore Robin Seggelmann: realizzò alcune righe di codice da aggiungere a OpenSSL per una nuova funzione e le propose ad altri membri dell'iniziativa che le approvarono senza accorgersi del bug.
Intanto OpenSSL ha reso disponibile la versione aggiornata 1.0.1g che chiude la falla.