Uno de los investigadores que encontraron el error trabajó en Google. Google arregló todos sus servidores el 2 de abril. Luego, el equipo de OpenSSL fue informado el 3 de abril, y quizás algunos clientes de alto perfil. Se desarrolló un parche y estuvo disponible en el sitio de OpenSSL el 7 de abril, y las distribuciones de Linux como RedHat lo recogieron rápidamente para actualizaciones automáticas. En ese momento, la vulnerabilidad se anunció efectivamente a los medios técnicos. Se escribió una herramienta para probar la vulnerabilidad, que también funcionaba como un exploit, en unas pocas horas, se publicitó, luego se desconectó pero las copias y las mejoras estaban disponibles en otros lugares. La historia fue recogida por los principales medios de comunicación unas horas más tarde cuando se supo que algunos sitios de renombre eran vulnerables.
Como OpenSSL es un producto de código abierto sin registro de quién lo usa, no había forma de informarles a todos los usuarios afectados sobre el problema sin contarles también a los posibles atacantes.
Creo que la comunidad respondió sorprendentemente bien, considerando todas las cosas. La exposición fue en realidad bastante pequeña: solo los datos en tránsito eran vulnerables; si no inició sesión durante la ventana pública, pero aún no fija, de un par de días, sus datos estaban seguros. A diferencia de las infracciones como Target, donde los piratas informáticos obtuvieron millones de números de tarjetas de crédito y nombres de clientes acumulados durante meses o años.
- Cómo experimentar carreras de seguridad cibernética antes de comprometerse con una
- ¿Cómo ayuda System Restore a deshacerse del virus?
- ¿Hay alguna manera de personalizar una computadora portátil para que ningún hacker pueda hackearla o abrirla sin proporcionar la contraseña?
- ¿Cuál es la mejor protección antivirus gratuita?
- ¿Por qué no existe un método de autenticación segura universal para demostrar mi identidad a los bancos y otros sitios web importantes?