Alle hens aan dek voor Heartbleed-lek

Geen reacties
Tags: , , , , ,
Posted 14 Apr 2014 in nieuws

Online retailers hebben het de afgelopen dagen enorm druk gehad met het dichten van het Heartbleed-lek. Van Netflix tot Google en van Amazon Web Services tot hoster Rackspace, ze hebben naar eigen zeggen meteen actie ondernomen. De eerste slachtoffers melden zich: zo’n 900 sofinummers zijn in Canada gestolen.

Het zijn vooral bedrijven die gebruikmaken van open source-software die de afgelopen dagen werden getroffen: naast Google en Amazon was dat bijvoorbeeld ook webhoster Rackspace. Microsoft en Apple konden vrij snel melden dat hun diensten veilig waren.

De versleutelingstechniek OpenSSL is in gebruik bij honderdduizenden websites en online diensten. Door een lek konden niet alleen wachtwoorden en inlognamen van gebruikers, maar ook de persoonlijke encryptiesleutels van de sitebeheerder worden opgevraagd.

De fout blijkt gemaakt door de Duitse ontwikkelaar Robin Seggelman op Oudejaarsavond van 2011. Hij werkte aan het project tijdens zijn promotie-onderzoek aan de universiteit van Münster van 2008 tot 2012. Bij het code-reviewproces is de fout niet opgemerkt. Dat komt doordat maar een beperkt aantal mensen aan het project werkt.

Ondanks verhalen dat de inlichtingendienst NSA wist van de fout en daar ook dankbaar gebruik van heeft gemaakt – wat deze organisatie in alle toonaarden ontkent – is het nog maar de vraag of de fout is ontdekt. Daar zijn geen aanwijzingen voor. Het gevaar voor misbruik is juist groter geworden nu bekend is dat OpenSSL ongevraagd te veel informatie uit het geheugen van de server kan sturen. De eerste berichten over incidenten druppelen naar buiten: zo’n 900 sofinummers zijn gestolen bij de Canada Revenue Agency.

Lang niet alle lekken zijn al gedicht. Cisco en Juniper Networks – grote leveranciers van internetrouters – zijn nog bezig. Een Nederlander heeft lekken bij Akamai aangetroffen. BlackBerry maakte bekend dat zijn BBM Messenger is getroffen, voor zowel iOS als Android.  Miljoenen Android apparaten lopen gevaar. Het gaat daarbij hoofdzakelijk om toestellen met Android 4.1.1.



Lees het volledige bericht op Emerce »


Add Your Comment