Heartbleed adalah lubang keamanan di OpenSSL yang ditemukan oleh perusahaan keamanan Finlandia Codenomicon dan dipublikasikan pada 7 April 2014. OpenSSL adalah teknologi enkripsi yang digunakan untuk membuat koneksi situs web yang aman melalui HTTPS, membuat VPN, dan mengenkripsi beberapa protokol lainnya. Karena OpenSSL digunakan oleh kira-kira dua pertiga server web, kerentanan dianggap sebagai salah satu lubang keamanan paling signifikan yang ditemukan sejak awal web.
Bagaimana cara kerja Heartbleed?
Eksploitasi Heartbleed mengambil keuntungan dari komunikasi awal antara klien dan server. Langkah awal ini biasanya disebut "handshake", meskipun OpenSSL menyediakan variasi yang disebut "heartbeat". Heartbeat digunakan untuk membuat koneksi yang aman, tetapi data yang dikirimkan selama heartbeat tidak dikirim dengan aman.
Dengan mengirimkan informasi palsu ke server, hacker dapat mengambil 64 kilobyte data dari cache server. Meskipun ini adalah sejumlah kecil data, itu cukup untuk memuat username, password, atau informasi rahasia lainnya. Dengan membuat beberapa permintaan berturut-turut, hacker berpotensi menangkap sejumlah besar data pribadi yang di-cache di memori server.
Bug Heartbleed khusus untuk OpenSSL 1.0.1 hingga 1.0.1f dan versi 1.0.2-beta1. Versi lain dari OpenSSL dan jenis implementasi TLS (transport layer security) lainnya tidak terpengaruh. Setelah bug tersebut diketahui pada tanggal 7 April, banyak server web segera ditambal dengan versi 1.0.1g. Namun, tidak diketahui berapa banyak server yang terpengaruh dan berapa banyak yang masih menggunakan versi OpenSSL yang rentan.
Bagaimana Heartbleed mempengaruhi saya?
Kecil kemungkinan Anda terpengaruh secara langsung oleh bug Heartbleed. Sementara lubang keamanan tidak terdeteksi selama dua tahun, hanya ada sedikit bukti bahwa eksploitasi telah digunakan secara luas. Namun, agar aman, Anda dapat melindungi diri sendiri dengan memperbarui kata sandi untuk login situs web , akun email, dan layanan online lainnya.