CloudFlare ผู้ให้บริการ CDN (Content Delivery Network) รายใหญ่ ก่อนหน้านี้ได้ประเมินว่าบั๊ก Heartbleed มีโอกาสให้แฮกเกอร์จะสามารถขโมย private key ซึ่งจะทำให้แฮกเกอร์สามารถแกะข้อมูลที่วิ่งผ่าน SSL ได้ทั้งหมด ซึ่งรวมถึงข้อมูลรหัสผ่าน ข้อมูลบัตรเครดิต ฯลฯ

ทาง CloudFlare ได้ตั้งเซิร์ฟเวอร์ nginx-1.5.13 ที่ใช้ OpenSSL 1.0.1.f เพื่อให้คนลองมาล้วง private key ออกไป แต่ไม่เกินสิบชั่วโมง ก็มีคนแกะ private key ออกไปได้ถึง 2 คน และ CloudFlare ก็ออกมารับรองผลแล้วว่าสามารถเจาะเอา private key ไปได้จริง

ผู้เจาะจะเปิดเผยรายละเอียดเชิงเทคนิคในการเจาะในอีกสัปดาห์หนึ่ง เพื่อให้เวลาแก่ผู้ดูแลระบบได้ปิดช่องโหว่เสียก่อน แต่ทาง CloudFlare บอกว่า ผู้เจาะทั้งสองรายส่ง request เข้าเครื่องเป้าหมายประมาณ 1 แสน และ 2.5 ล้านครั้ง

ว่ากันตามทฤษฎีแล้วมันมีโอกาสที่จะโดนเจาะเอา private key ออกไปได้ เพียงแต่ผู้ดูแลอาจจะคิดว่า ก็แค่ได้ข้อมูลในหน่วยความจำไปเฉยๆ น่าจะเอาไปทำอะไรได้ยาก หรือจะโชคร้ายถึงขนาดสกัดเอาข้อมูล private key จริงๆ ก็น่าจะเป็นไปไม่ได้ นี่จึงเป็นการทำ proof-of-concept ว่าความเสี่ยงนี้สามารถเป็นภัยร้ายแรงได้จริงๆ และใช้เวลาและความพยายามน้อยกว่าที่คิดกันไว้มาก

สำหรับผู้ให้บริการ ถ้าเคยหรือกำลังใช้ OpenSSL รุ่นที่มีปัญหาอยู่ ขอให้คิดว่าใบรับรองเดิมถูกเจาะเรียบร้อยแล้วและเปลี่ยนใบรับรองเป็นใบใหม่ให้เร็วที่สุด และประกาศให้ผู้ใช้งานเปลี่ยนรหัสผ่านเพื่อความปลอดภัยต่อไป

สำหรับผู้ใช้บริการ แนะนำให้สอบถามกับผู้ให้บริการให้ประเมินความเสี่ยง ถ้าผู้ให้บริการมีความเสี่ยง ขอให้เปลี่ยนรหัสผ่าน หลังจากผู้ให้บริการปิดช่องโหว่และเปลี่ยนใบรับรองแล้ว

ที่มา: Engadget, CloudFlare