Pocos días después de la publicación y la demostración del bug masivo Hearbleed, un hacker canadiense de 19 años se ha convertido en el primer arrestado por supuestamente hacer uso de la vulnerabilidad con fines delictivos. La Policía Montada de Canadá acusa al joven realizar un ataque informático contra la Agencia de Impuestos de Canadá (CRA) obteniendo 900 números de la seguridad social y posiblemente otros datos de los contribuyentes.
"La CRA ha trabajado contra reloj para implementar un 'parche' para el bug, comprobar vigorosamente todos los sistemas para asegurarnos de que sean seguros y volver a lanzar nuestros servicios en línea", escribe en un comunicado el administrador de la CRA, Andrew Treusch. "La CRA es una de las muchas organizaciones que ha sido vulnerable a Heartbleed, aún a pesar de nuestros robustos controles".
El sospechoso del ataque, Stephen Solis-Reyes, fue arrestado ayer en su domicilio de Ontario dentro de lo que se considera la primera actuación policial relacionada con el bug Heartbleed. Solis-Reyes se enfrenta a cargos criminales por daños y por acceso no autorizado a datos.
La policía canadiense ha requisado todos los equipos informáticos del acusado que se presentará ante el juzgado el próximo 17 de julio. "Se cree que Solis-Reyes fue capaz de extraer información privada en posesión de la CRA explotando la vulnerabilidad conocida como el bug Heartbleed", declara la Policía Montada de Canadá en una nota de prensa.
Según informa CNN, el ataque recibido por la CRA ha obligado a retrasar la fecha límite para la declaración de impuestos en el país americano casi una semana, del 30 de abril al 5 de mayo, provocando un enorme coste económico al organismo tributario. "En estos momentos estamos analizando minuciosamente otros fragmentos de datos, algunos relacionados con negocios, que también han sido extraídos", añade en el comunicado la CRA.
"La CRA ha trabajado contra reloj para implementar un 'parche' para el bug, comprobar vigorosamente todos los sistemas para asegurarnos de que sean seguros y volver a lanzar nuestros servicios en línea", escribe en un comunicado el administrador de la CRA, Andrew Treusch. "La CRA es una de las muchas organizaciones que ha sido vulnerable a Heartbleed, aún a pesar de nuestros robustos controles".
El sospechoso del ataque, Stephen Solis-Reyes, fue arrestado ayer en su domicilio de Ontario dentro de lo que se considera la primera actuación policial relacionada con el bug Heartbleed. Solis-Reyes se enfrenta a cargos criminales por daños y por acceso no autorizado a datos.
La policía canadiense ha requisado todos los equipos informáticos del acusado que se presentará ante el juzgado el próximo 17 de julio. "Se cree que Solis-Reyes fue capaz de extraer información privada en posesión de la CRA explotando la vulnerabilidad conocida como el bug Heartbleed", declara la Policía Montada de Canadá en una nota de prensa.
Según informa CNN, el ataque recibido por la CRA ha obligado a retrasar la fecha límite para la declaración de impuestos en el país americano casi una semana, del 30 de abril al 5 de mayo, provocando un enorme coste económico al organismo tributario. "En estos momentos estamos analizando minuciosamente otros fragmentos de datos, algunos relacionados con negocios, que también han sido extraídos", añade en el comunicado la CRA.
PD. No se mucho de estas cosas, sólo leo e interpreto lo que he leido sobre ello
El bug no permite entrar en ningún servidor como administrador. Permite capturar tráfico mediante algo similar a un ping para SSL.
Obviamente, para hacerse con una ingente cantidad de datos se necesita hacer poco menos que un DoS, ya que con cada HeartBeat sólo se pueden sacar 64KB de la memoria del servidor SSL.
Como comprenderas, un ataque a nivel de DoS es bastante detectable.
Creo que este chaval ha aprendido por el camino difícil. Aunque bueno, ha servido de lección para que el Gobierno Canadiense se ponga las pilas y dejarlos en ridículo por lo que se preocupan por su seguridad.