Online veiligheidsonderzoekers hebben een enorm beveiligingsprobleem ontdekt, genaamd Heartbleed. OpenSSL, de open source encryption software library, bevat een gigantische bug die invloed heeft op de meerderheid van het wereldwijde web. De bug zorgt ervoor dat hackers persoonlijke informatie kunnen inwinnen zonder dat dit ontdekt wordt.
Het is een complex probleem, maar het komt er op neer dat Heartbleed in ieder geval de komende tijd veel schade aan kan richten. Het is van groot belang dat gebruikers maatregelen nemen om zich tegen deze kwetsbaarheid te beschermen.
Wat is OpenSSL?
OpenSSL is een zogenaamde open source encryption software library die er doorgaans voor zorgt dat het internetverkeer beter beveiligd is. Het protocol beschermt informatie als gebruikersnamen, wachtwoorden en andere gegevens van spionerende hackers.
Websites die OpenSSL gebruiken bieden doorgaans de garantie dat de pagina veilig is en dat gebruikers hun informatie in kunnen voeren.
Wat is de Heartbleed bug?
Heartbleed is de codenaam voor een kwetsbaarheid, een zogenaamde bug, die werd ontdekt in OpenSSL. Heartbleed blijkt al twee jaar actief te zijn, maar werd gisteren pas ontdekt.
De kwetsbaarheid compromitteert de beveiligingsfeatures van OpenSSL waar gebruikers persoonlijke gegevens invoeren. Als een hacker via een Heartbleed-infectie mee zit te luisteren is het eenvoudig toegang te krijgen tot gebruikersnamen en wachtwoorden. Hierdoor kunnen cyberaanvallers zich voor doen als andere personen.
Het gevaarlijkste van deze bug is dat Heartbleed onzichtbaar is voor geïnfecteerde websites. Paginabeheerders kunnen niet zien of hun website momenteel of eerder gecompromitteerd was. Dit betekent dat informatie ontvreemd kan worden zonder dat het ooit gemerkt wordt.
Welke websites en diensten zijn getroffen door Heartbleed?
Meer dan 66% van het web gebruikt OpenSSL dus een groot deel van de websites is getroffen door Heartbleed. Grote namen als Yahoo!, Imgur en OkCupid verschijnen op een lijst van geïnfecteerde pagina’s. Op deze GitHub-site is een overzicht te vinden van de websites waarvan nu bekend is dat zij getroffen zijn door Heartbleed.
Veel websites zijn begonnen de fout te herstellen door patches te lanceren, maar voor veel gebruikers is het mogelijk al te laat. De bug is al twee jaar online en het is onbekend hoeveel gebruikersgegevens reeds ontvreemd zijn.
Wat kan ik doen om mezelf te beschermen tegen Heartbleed?
Helaas kunnen gebruikers zelf niet veel doen. Aangezien de fout de websites zelf treft, is het aan pagina-eigenaren om deze kwetsbaarheid op te lossen. Dit is voor web-gebruikers wel hét moment om accounts en bankgegevens te controleren op vreemde activiteit.
Wij raden aan de websites op de GitHub-lijst zoveel mogelijk te vermijden. Totdat de fout verwijderd is heeft het echter geen zin je wachtwoord te veranderen, aangezien deze informatie nog steeds kan “lekken”. Wacht daarom totdat de Heartbleed-patch gelanceerd is totdat je inloggegevens wijzigt.
Bron: Heartbleed