Heartbleed adalah kerentanan serius di perpustakaan perangkat lunak kriptografi OpenSSL populer yang muncul karena bug dalam implementasi protokol Transport Layer Security (TLS). OpenSSL digunakan untuk menyediakan dan memverifikasi koneksi aman antara server web dan klien.
Kelemahan keamanan ini ditemukan oleh Neel Mehta dari Google Security dan tim peneliti keamanan dari Codenomicon, dan diungkapkan secara publik pada tanggal 7 April 2014. Kerentanan tersebut berpotensi memungkinkan informasi sensitif, rahasia, atau keuangan dicuri atau dipalsukan jika digunakan. di situs web yang rentan. Kerentanan tersebut diberi nama “heartbleed” karena fakta bahwa kerentanan tersebut memengaruhi fungsi “heartbeat” OpenSSL, yang digunakan oleh klien dan lebih sering server untuk menjaga koneksi tetap hidup tanpa lalu lintas yang tidak terbatas.
Heartbleed adalah fitur OpenSSL yang diperkenalkan pada versi 1.0.01 pada bulan Maret 2012 dan baru diekspos pada bulan April 2014. Setelah server yang rentan terhubung, permintaan Heartbeat dapat dikirim sebagai bagian dari protokol atau oleh penyerang . Permintaan tersebut mencakup muatan data sewenang-wenang hingga berukuran 64kb dan diperiksa dengan respons jika data telah diterima dari server. Cacat Heartbleed memungkinkan penyerang mengirim permintaan detak jantung dengan ukuran muatan lebih besar dari yang ditentukan dalam permintaan. Dengan melakukan hal ini, permintaan jahat tidak akan diperiksa dengan respons melainkan server akan melebihi memori yang dialokasikan dan mengirim kembali memori server acak hingga 64KB.
Kerentanan ini menjadi sangat luas karena kemampuannya mengeksploitasi server web populer menggunakan OpenSSL untuk mengirimkan koneksi web terenkripsi. Sejak pengumuman tersebut, banyak perusahaan besar, termasuk Google, Github, Kayak, Yahoo dan Dropbox, telah mengungkapkan bahwa mereka terkena dampak bug tersebut.
Bug Heartbleed sekarang telah ditambal di banyak situs web dan rata-rata pengguna harus aman dan mengambil langkah ekstra untuk mengamankan akun online mereka. Hal ini termasuk mengubah kata sandi yang digunakan selama potensi serangan dan mengaktifkan otentikasi dua faktor jika tersedia. Pengguna juga dihimbau untuk terus mengikuti perkembangan pembaruan keamanan situs web dan terus memeriksa berita terkait Heartbleed dan kerentanan lainnya.
