O Shellshock vem sendo comentado pelo noticiário de tecnologia como uma ameaça muito maior e mais complexa que o recente Hearthbleed, que ameaça equipamentos conectados à internet. O alvo da vez, agora, são os sistemas que rodam Linux e Unix, principalmente servidores, que contém informações sensíveis e confidenciais dos usuários. E a primeira vítima desse grave problema parece já ter sido localizada, o Yahoo!.

Quem divulgou a informação foi o especialista em segurança Jonathan Hall, que disse ter encontrado evidências de que hackers romenos obtiveram acesso a pelo menos dois servidores da empresa. Na sequência, estavam tentando comprometer mais e mais elementos da infraestrutura do Yahoo! até chegar ao servidor do serviço Games, considerado pelos criminosos como o mais valioso justamente pela enorme quantidade de dados pessoais de usuários que estariam contidos lá.

Ao ser informado sobre a brecha, o Yahoo! diz ter tomado medidas rápidas para conter o caso, isolando os equipamentos comprometidos do total da sua rede e aplicando soluções contra o Shellshock. A empresa, porém, não comentou exatamente quais foram os serviços atacados pelos hackers, mas disse que não há evidências de que dados pessoais ou confidenciais de seus usuários foram acessados ou copiados pelos criminosos. De acordo com Hall, a invasão começou pelo domínio WinZip.com, casa de um dos mais populares compactadores de arquivos do mundo.

Além disso, em comunicado oficial, o Yahoo! confirmou que três de seus servidores foram comprometidos por meio do uso da vulnerabilidade Shellshock. Em informações enviadas à Bloomberg, a empresa disse estar monitorando de perto toda sua rede para garantir que os romenos, bem como outros invasores, não estejam presentes na infraestrutura da companhia. As medidas de segurança não devem ter impacto sobre o acesso aos serviços comprometidos e os usuários não devem sentir diferença alguma na navegação e uso das plataformas da companhia.

De acordo com Hall, o problema aconteceu pois os servidores da empresa estavam utilizando uma versão antiga da arquitetura Linux. Ele também recebeu, pessoalmente, uma confirmação do Yahoo! de que suas conclusões estavam corretas, mas disse não ter sido pago pela companhia por seus achados, já que o Shellshock não faria parte do programa de recompensas pela descoberta de bugs da empresa.

A vulnerabilidade foi descoberta no final de outubro e atinge diretamente o Bash, um dos softwares de linha de comando mais utilizados em sistemas Unix e Linux. Presente em servidores, computadores com Mac OS X e até mesmo dispositivos mobile, a falha existia há mais de 20 anos, mas só foi descoberta agora.

Remotamente, por meio da internet, hackers poderiam tomar controle completo da máquina de suas vítimas, enviando comandos por meio do Bash e efetivamente fazendo o que quiserem com a vulnerabilidade. Ela abre as portas, por exemplo, para a obtenção de dados confidenciais dos usuários ou comportamentos anormais, como redirecionamento de tráfego ou instalação de malwares nos computadores dos usuários.