Heartbleed: la lista completa dei siti colpiti dal bug Heartbleed e quelli per cui bisogna cambiare subito la password di accesso.
Social Networks
| Affetto? | C’è una patch? | Devi cambiare password? | Cosa hanno risposto? | |
|---|---|---|---|---|
| non è chiaro | SI | SI | “Abbiamo aggiunto le protezioni per la risoluzione prima che il problema fosse divulgato pubblicamente . Non abbiamo rilevato alcun segno di attività sospette, ma raccomandiamo di reimpostare una password univoca.” | |
| SI | SI | SI | “Il nostro team di sicurezza ha lavorato rapidamente su una correzione e non abbiamo alcuna riscontro di account corrotti. Questo evento ha influenzato molti servizi attraverso web, si consiglia di aggiornare la password su Instagram e altri siti, in particolare se si utilizza la stessa password su più siti .” | |
| No | No | No | “Non abbiamo usato l’attuazione per infrazione di OpenSSL in www.linkedin.com o www.slideshare.net . Come risultato, HeartBleed non presenta un rischio per questi servizi.” | |
| SI | SI | SI | “Abbiamo risolto il problema su Pinterest.com, e non abbiamo trovato alcuna prova di malware. Bisogna comunque stare molto attenti, abbiamo pinners che possono essere stati affetti via e-mail, e consigliamo di cambiare le loro password “ | |
| Tumblr | SI | SI | SI | “Non abbiamo alcuna prova di violazione e come la maggior parte delle reti il nostro team ha preso provvedimenti immediati per risolvere il problema “ |
| No | SI | Unclear | Twitter ha scritto che OpenSSL ” è ampiamente utilizzato su Internet e su Twitter. Siamo stati in grado di determinare che [i nostri] server non sono stati colpiti da questa vulnerabilità. Stiamo continuando a monitorare la situazione. ” Pur ribadendo che non sono stati affetti, Twitter ha fatto applicare una patch |
Altri servizi
| Affetto? | Cè una patch? | Devi cambiare password? | Cosa hanno risposto? | |
|---|---|---|---|---|
| Apple | No | No | No | “iOS e OSX, software mail incorporati e servizi web -based non sono stati colpiti.” |
| Amazon | No | No | No | “Amazon.com non è interessato.” |
| SI | SI | SI | “Abbiamo valutato la vulnerabilità SSL e patch applicati ai servizi chiave di Google.” Search, Gmail, YouTube, Giochi, Apps e App Engine sono state colpite; Google Chrome e Chrome OS no. Gli utenti non hanno bisogno di cambiare le loro password, ma a causa della vulnerabilità precedente, meglio prevenire che curare. | |
| Microsoft | No | No | No | I servizi Microsoft non utilizzano OpenSSL, secondo LastPass |
| Yahoo | SI | SI | SI | “Non appena siamo venuti a conoscenza del problema, abbiamo iniziato a lavorare per risolverlo… e stiamo lavorando per implementare la correzione attraverso il resto dei nostri siti in questo momento. ” Homepage Yahoo, Yahoo Search, Yahoo Mail, Yahoo Finance, Yahoo Sports, Yahoo Tech, Flickr e Tumblr sono patchati. Altre patch seguiranno |
| Affetto? | Cè una patch? | Devi cambiare password? | Cosa hanno risposto? | |
|---|---|---|---|---|
| AOL | No | No | No | In AOL non era in esecuzione la versione vulnerabile del software |
| Gmail | SI | SI | SI | ” Abbiamo valutato la vulnerabilità SSL e applicato le patch ai servizi chiave di Google.” |
| Hotmail / Outlook | No | No | No | I servizi Microsoft non utilizzano OpenSSL |
| Yahoo Mail | SI | SI | SI | “Non appena siamo venuti a conoscenza del problema, abbiamo iniziato a lavorare per risolverlo… e stiamo lavorando per implementare la correzione attraverso il resto dei nostri siti in questo momento. ” Homepage Yahoo, Yahoo Search, Yahoo Mail, Yahoo Finance, Yahoo Sports, Yahoo Tech, Flickr e Tumblr sono patchati. Altre patch seguiranno” |
Stores and Commerce
| Affetto? | Cè una patch? | Devi cambiare password? | Cosa hanno risposto? | |
|---|---|---|---|---|
| Amazon | No | No | No | Amazon.com non è interessato |
| Amazon servizi web(per operatori web) | SI | SI | SI | La maggior parte dei servizi sono stati affetti ma Amazon era già in grado di applicare le patch. Elastic Load Balancing , Amazon EC2 , Amazon Linux AMI, Red Hat Enterprise Linux, Ubuntu, OpsWorks AWS, AWS Elastic Beanstalk e Amazon CloudFront stati patchati. |
| eBay | No | No | No | “eBay.com è mai stato vulnerabile a questo bug, perché non è mai stata in esecuzione una versione vulnerabile di OpenSSL” |
| Etsy | SI* | SI | SI | Per Etsy solo una piccola parte della sua infrastruttura era vulnerabile, e l’hanno patchata. |
| GoDaddy | SI | SI | SI | “Stiamo aggiornando servizi GoDaddy che utilizzano la versione di OpenSSL interessata.” |
| Groupon | No | No | No | “Groupon.com non utilizza una versione della libreria OpenSSL che è suscettibile al bug Heartbleed.” |
| Nordstrom | No | No | No | “I siti web Nordstrom non utilizzano la crittografia OpenSSL.” |
| PayPal | No | No | No | “I dettagli dell’account PayPal non sono stati esposti in passato e restano sicuri” |
| Target | No | No | No | “Abbiamo lanciato una rassegna completa di tutti gli aspetti esterni di Target.com… e attualmente non crediamo che tutti gli aspetti esterni che affrontano dei nostri siti sono interessate dalla vulnerabilità OpenSSL. |
| Walmart | No | No | No | “Noi non usiamo quella tecnologia e quindi non siamo stati influenzati da questa particolare violazione.” |
Altri
| Affetto? | Cè una patch? | Devi cambiare password? | Cosa hanno risposto? | |
|---|---|---|---|---|
| Box | SI | SI | SI | “Stiamo attualmente lavorando con i nostri clienti per reimpostare le password in modo proattivo e sono anche riemissione nuovi certificati SSL per una maggiore protezione.” |
| Dropbox | SI | SI | SI | Su Twitter:”Abbiamo patchato tutti i nostri servizi e continueremo a lavorare per assicurarci che tutto sia sempre al sicuro.” |
| Evernote | No | No | No | “Evernote, Evernote applicazioni e siti web di Evernote … tutti usano le implementazioni non OpenSSL di SSL/TLS per crittografare le comunicazioni di rete.” |
| Hulu | Unclear | Unclear | Unclear | |
| GitHub | SI | SI | SI | GGitHub ha patchato tutti i suoi sistemi con nuovi certificati SSL e revocato quelli vecchi. GitHub chiede a tutti gli utenti di cambiare la password, abilitare l’autenticazione in due passaggi e di “revocare e ricreare gli accessi personali e gettoni di applicazione. |
| IFTTT | SI | SI | SI | Ifttt ha scritto a tutti i suoi utenti e li ha disconnessi, invitandoli a cambiare la propria password sul sito. |
| Minecraft | SI | SI | SI | “Siamo stati costretti a sospendere temporaneamente tutti i nostri servizi …. L’exploit è stato risolto. Non possiamo garantire che le vostre informazioni non siano state compromesse |
| Netflix | Unclear | Unclear | Unclear | “Come molte altre aziende, abbiamo preso provvedimenti immediati per valutare la vulnerabilità. Non siamo a conoscenza di alcun impatto sui clienti.” |
| OKCupid | SI | SI | SI | “”Noi, come la maggior parte di Internet, siamo rimasti sbalorditi che un grave bug come questo, che esiste da tanto tempo ed era così diffuso.” |
| SoundCloud | SI | SI | SI | SoundCloud ha sottolineato che non ci sono indicazioni di alcun problema e che le azioni della società erano semplicemente precauzionali. |
| Spark Networks (JDate, Christian Mingle) | No | No | No | Questi siti non utilizzano OpenSSL. |
| SpiderOak | SI | SI | No | SpiderOak ha patchato i suoi server, ma il client desktop non usa una versione vulnerabile di OpenSSL, così “i clienti non devono intraprendere alcuna azione speciale. |
| WordPress | Unclear | Unclear | Unclear | WordPress tramite twitter dichiara di aver preso “misure immediate” e “affrontato la Heartbleed OpenSSL exploit”, ma non è chiaro se il problema è completamente risolto. Quando ha chiesto a Matt Mullenweg, fondatore di WordPress, quando saranno sostituite le certificazioni SSL del sito e quando gli utenti saranno in grado di reimpostare le password, ha semplicemente risposto:”presto” |
| Wunderlist | SI | SI | SI | “Devi effettuare il login semplicemente tornare in Wunderlist. Si consiglia inoltre vivamente di reimpostare la password per Wunderlist. |
Password Managers
| Affetto? | Cè una patch? | Devi cambiare password? | Cosa hanno risposto? | |
|---|---|---|---|---|
| 1Password | No | No | No | 1Password ha chiarito che la sua tecnologia “non si basa su SSL/TLS in generale, e non su OpenSSL in particolare. “gli utenti non hanno bisogno di cambiare la loro password principale |
| Dashlane | SI | SI | No | Dashlane: gli account degli utenti postali non sono stati influenzati e la password principale è sicura in quanto non viene mai trasmessa. Il sito fa uso di OpenSSL durante la sincronizzazione dei dati con i server, ma Dashlane ha patchato il bug, emesso nuove certificati SSL e revocato i precedenti. |
| LastPass | SI | SI | No | “Sebbene LastPass impiega OpenSSL, abbiamo più livelli di crittografia per proteggere i nostri utenti e non hanno accesso a tali chiavi di crittografia.” Gli utenti non hanno bisogno di cambiare le loro password perché non sono mai inviate al server. Ma le password di altri siti memorizzati in LastPass potrebbero avere bisogno di essere cambiate. |
