Falha Heartbleed que atingiu o protocolo do OpenSSL teve seu código-fonte aberto na véspera do Ano Novo de 2011 Reprodução Internet

A falha "Heartbleed" que atingiu o protocolo do OpenSSL, ao que tudo indica, foi provocada pelo desenvolvedor de software alemão Robin Seggelmann, e uma revisão posterior do servidor não conseguiu pegar o erro da codificação. Em entrevista ao jornal Sydney Morning Herald, Seggelmann afirma que em um dos novos recursos do servidor ele perdeu a validação de uma variável.

Algumas pessoas acusaram Seggelmann de adicionar intencionalmente a falha de segurança, acusação que ele nega, alegando que a razão dele  estar trabalhando no OpenSSL naquele dia era contribuir na correção de bugs e melhorias para o projeto. "Foi um erro de programação simples em um novo recurso, que, infelizmente, ocorreu em uma área de segurança relevante", disse ele. Mas Seggelmann reconhece que o erro levou a consequências "graves".

Entenda o caso - Nesta última segunda-feira (7), o mundo de TI fez um alerta não muito agradável: um aviso temporário de segurança de emergência do projeto OpenSSL. O bug aberto ficou conhecido como "Heartbleed" e funcionou como uma fonte que puxava partes da mamória de trabalho a partir de qualquer servidor que estivesse executando o software. Houve um patch de emergência, mas até que foi instalado, milhões de servidores ficaram expostos.

Descoberto pelo pesquisador do Google, Neel Mehta, o bug permite que um atacante consiga puxar, por exemplo, 64k aleatoriamente de memória de trabalho de um determinado servidor. Os pesquisadores estão comparando-o como uma pesca, em que não se sabe quais os dados que serão coletados, mas visto que é possível ser executada repetidas vezes, há o potencial de que dados precisosos sejam expostos.