Uno studente di 19 anni della Western University in Ontario è stato arrestato con l’accusa di aver sfruttato il bug Heartbleed per trafugare i dati di oltre 900 contribuenti canadesi dai server dell’Agenzia delle Entrate.

heartbleedIl suo nome è Stephen Arthuro Solis – Reyes, figlio di un professore di informatica che insegna nella sua stessa università, è stato arrestato dalla Royal Canadian Mounted Police e si tratta del primo arresto relativo alla vulnerabilità Heartbleed della libreria openSSL.

L’avvocato del ragazzo, Faisal Joseph, descrive il suo cliente come “uno studente molto brillante ma anche molto emotivo“, per questo non se l’è sentita di rilasciare una dichiarazione sul suo arresto, inoltre – continua l’avvocato – si è consegnato volontariamente alle autorità, dopo che gli ufficiali hanno minacciato di arrestarlo nel bel mezzo di uno dei suoi corsi universitari.

Joseph sostiene inoltre che la polizia ha rinchiuso lo studente in carcere per oltre cinque ore senza poter richiedere un colloquio con il suo avvocato, e che presenterà un reclamo in merito.

I funzionari Agenzia delle Entrate canadese hanno dichiarato di aver bloccato l’accesso del pubblico ai servizi fiscali on line un giorno dopo che la vulnerabilità Heartbleed è stata scoperta, ma evidentemente era ormai troppo tardi dando la possibilità a Solis – Reyes di appropriarsi delle chiavi di crittografia privata , password e altri dati sensibili da uno dei server dell’agenzia delle entrate che eseguiva versioni vulnerabili della libreria openSSL.

La vulnerabilità Heartbleed prende il nome dal protocollo hearthbeat utilizzato da openSSL per garantire la continuità di un servizio, nello specifico: il server che ospita il servizio interroga un altro server con una parola chiave con una specifica lunghezza, qualora l’altro server non risponda, il server che ha inoltrato la richiesta capirà che è fuori uso ed eseguirà delle operazioni specifiche.

E’ stato scoperto che interrogando il server con una parola chiave più lunga (contenente più caratteri di quella reale) l’altro server risponde mostrando tutto ciò che ha in memoria: ID, Password e altri dati sensibili. (per maggiori informazioni sul bug leggi qui)

Secondo Netcraft, due terzi dei siti web utilizzano OpenSSL per implementare la crittografia HTTPS , anche se non tutti hanno Heartbleed abilitato.

E voi cosa ne dite, l’Agenzia delle Entrate italiana avrà preso i giusti accorgimenti? 🙂

Via