Σύμφωνα με πρόσφατο δημοσίευμα του Bloomberg, η αμερικανική Εθνική Υπηρεσία Ασφάλειας όχι μόνο γνώριζε την ύπαρξη του κρίσιμου κενού ασφάλειας Heartbleed, αλλά το αξιοποιούσε συστηματικά για να συλλέγει δεδομένα.
Η κυβέρνηση των ΗΠΑ ωστόσο αρνείται τις κατηγορίες, δηλώνοντας ότι η NSA δεν γνώριζε για τη συγκεκριμένη ευπάθεια, μέχρι και την δημοσιοποίησή της από ερευνητές ασφάλειας.
Σύμφωνα με την αρχή “Vulnerabilities Equities Process”, η οποία διέπει τους εσωτερικούς κανονισμούς της ΝSA, η μυστική υπηρεσία κλίνει προς την αποκάλυψη των τρωτών σημείων που εντοπίζονται, εκτός εάν συντρέχουν νομικοί λόγοι ή λόγοι εθνικής ασφάλειας.
“Όταν οι ομοσπονδιακές υπηρεσίες ανακαλύπτουν νέες ευπάθειες σε εμπορικό και ανοικτού κώδικα λογισμικό – τις λεγόμενες «zero-day» ευπάθειες καθώς οι προγραμματιστές του ευάλωτου λογισμικού είχαν μηδέν ημέρες στη διάθεσή τους για να τις επιδιορθώσουν – είναι θέμα εθνικού συμφέροντος να αποκαλύπτουν υπεύθυνα την ευπάθεια αντί να την κρατούν για διερευνητικούς σκοπούς ή συλλογή δεδομένων”, δήλωσε ο διευθυντής της Εθνικής Υπηρεσίας Πληροφοριών την Παρασκευή.
Η κυβέρνηση μπορεί να επιτρέψει περιστασιακά την αξιοποίηση μιας zero-day ευπάθειας για τη συλλογή πληροφοριών, αυστηρά και μόνο έπειτα από έγκριση όλων των αρμόδιων υπηρεσιών.
