Bloedend Hart-beveiligingfout schudt heel internet op

Een ernstig lek in het beveiligingsprotocol OpenSSL heeft een enorme onrust veroorzaakt bij beveiligingsspecialisten. Hackers hebben mogelijk toegang gekregen tot wachtwoorden en betalingsgegevens van ruim de helft van de websites op het internet. OpenSSL wordt door de helft van alle websites gebruikt.

Door een al twee jaar oude fout in het OpenSSL-protocol – beter bekend als Heartbleed – kunnen kwaadwillenden het geheugen van een server uitlezen, en daarmee de versleuteling van beveiligde data omzeilen, zoals wachtwoorden, betalingsgegevens en locatiegegevens. Dat alles zonder sporen achter te laten.

Het lek werd ontdekt door Neel Mehta van Google Security. Het OpenSSL-projectteam stelt dat alle versies tussen 1.0.1 en 1.0.2-beta kwetsbaar zijn. Gebruikers wordt met klem aangeraden om de software op te waarderen naar de vrijgegeven versies 1.0.1g of 1.0.2-beta-2.

De impact gaat verder dan webservers, ook routers, modems en mailservers kunnen worden getroffen. Inmiddels is er in diverse talen een webpagina opgetuigd met nadere informatie. Ook is er een zoekmachine voor mogelijk geïnfecteerde hostadressen. Van de grotere internetbedrijven lijkt vooral Yahoo getroffen door het lek, Facebook, Google en Twitter lijken veilig.

Hoewel het lek is gedicht, blijft er onzekerheid bestaan over gecompromitteerde servers. Volgens internetexperts kan het nog wel even duren voordat SSL weer helemaal veilig is.

Gerelateerde items

Reactie plaatsen