Podjetje, ki ni odkrilo ranljivosti Heartbleed, na njen račun kuje bajne zaslužke
Na začetku aprila je skupina strokovnjakov podjetja Google v knjižnici OpenSSL, ki skrbi za upravljanje s šifrirnima protokoloma SSL in TLS, odkrila izjemno hudo varnostno ranljivost (bit.ly/Heart-Bleed). Spletni kriminalci lahko namreč preko nje dostopajo do vse digitalne vsebine, ki je začasno shranjena v sistemskem pomnilniku. Na ta način se nepridipravi lahko na sila enostaven način dokopajo do zasebnih šifrirnih ključev, gesel, kartičnih podatkov in drugih zaupnih podatkov.
Čeprav ni lepo iz tuje nesreče kovati dobiček, je varnostno podjetje Codenomicon storilo prav to. Dva dni za tem, ko so ranljivost v knjižnici OpenSSL razkrili strokovnjaki podjetja Google, je podjetje Codenomicon ranljivost »ponovno odkrilo«, jo poimenovalo v »Heartbleed«, registriralo domeno »heartbleed.com«, pripravilo logotip krvavečega srca in sprožilo največjo medijsko kampanjo vseh časov. Poleg tega je pripravilo še programsko opremo za razkrivanje ranljivosti in jo za velike denarce prodajalo vsem večjim korporacijam širom sveta. Kakšno »naključje«!
Medtem ko je podjetje Codenomicon na račun ranljivosti v knjižnici OpenSSL namerno širilo paniko med uporabniki svetovnega spleta, so programerji podjetja Google takoj po razkritju namestili neranljivo knjižnico in to je bilo tudi vse. Ostala podjetja pa so panično sledila navodilom varnostnega podjetja Codenomicon in s tem izgubljala dragoceni čas za namestitev brezplačnega popravka ranljive knjižnice.
Prijavi napako v članku