Heartbleed adalah lubang keamanan di OpenSSL yang ditemukan oleh perusahaan keamanan Finlandia Codenomicon dan dipublikasikan pada 7 April 2014.
OpenSSL adalah teknologi enkripsi yang digunakan untuk membuat koneksi situs web yang aman melalui HTTPS, membuat VPN, dan mengenkripsi beberapa protokol lainnya.
Karena OpenSSL digunakan oleh sekitar dua pertiga dari server web, kerentanan dianggap sebagai salah satu lubang keamanan paling signifikan yang ditemukan sejak awal web.
Eksploitasi Heartbleed mengambil keuntungan dari komunikasi awal antara klien dan server.
Langkah awal ini biasa disebut “jabat tangan,” meskipun OpenSSL memberikan variasi yang disebut “detak jantung.” Detak jantung digunakan untuk membangun koneksi yang aman, tetapi data yang ditransmisikan selama detak jantung tidak dikirim dengan aman.
Dengan mengirimkan informasi palsu ke server, seorang peretas dapat mengambil potongan data 64 kilobyte dari cache server.
Meskipun ini adalah sejumlah kecil data, itu cukup untuk berisi nama pengguna, kata sandi, atau informasi rahasia lainnya.
Dengan membuat beberapa permintaan berturut-turut, seorang peretas berpotensi menangkap sejumlah besar data pribadi yang di-cache dalam memori server.
Bug Heartbleed khusus untuk OpenSSL 1.0.1 hingga 1.0.1F dan versi 1.0.2-beta1.
Versi lain dari OpenSSL dan jenis lain dari implementasi TLS (Transport Layer Security) lainnya tidak terpengaruh.
Setelah bug diketahui pada 7 April, banyak server web ditambal segera dengan versi 1.0.1g.
Namun, tidak diketahui berapa banyak server yang terpengaruh dan berapa banyak yang masih menggunakan versi rentan OpenSSL.
Tidak mungkin Anda secara langsung terpengaruh oleh bug yang memilukan.
Sementara lubang keamanan tidak terdeteksi selama dua tahun, ada sedikit bukti bahwa eksploitasi telah banyak digunakan.
Namun, agar aman, Anda dapat melindungi diri Anda dengan memperbarui kata sandi Anda untuk login situs web, akun email, dan layanan online lainnya.
