Vanwege een enorm grote OpenSSL-bug is ongeveer twee derde van de webservers wereldwijd kwetsbaar voor hackers.



Op de hoogte blijven van onze nieuwste artikelen?

Schrijf je dan in voor onze nieuwsbrief en ontvang elke week onze beste artikelen in je mailbox.


Als je vandaag de woorden 'yellow submarine' tegenkomt dan is dat geen goed nieuws. Een grote fout in OpenSSL, een van de populairste cryptografische bibliotheken, heeft meer dan twee derde van webservers wereldwijd kwetsbaar gemaakt voor gegevensinspectie en rondneuzen van hackers.

Deze zwakke plek stelt hackers in staat persoonlijke sleutels te verkrijgen waarmee persoonlijke en gevoelige data ontcijferd kunnen worden, waaronder wachtwoorden, creditcarddetails en e-mailadressen. De fout komt voort uit een implementatieprobleem – een tekortkoming in de programmering.

Websites vermijden
Totdat de OpenSSL-bug, Heartbleed genaamd, opgelost is door webserverbeheerders en grote bedrijven, doen gebruikers er verstandig aan om bepaalde plekken op internet te vermijden. Of van tevoren te checken of ze veilig te bezoeken zijn.

Dat gaat onder meer op voor OKCupid, een populaire datingwebsite. Hetzelfde geldt voor Yahoo-gebruikers. Miljoenen accounts lopen risico. Het bedrijf heeft nog niet gereageerd op vragen van ZDNet, maar volgens een onlinechecker is de website nog veilig. 

Problemen verhelpen
Imgur heeft inmiddels aan ZDNet laten weten dat het Heartbleed-probleem voor die website verholpen is. “Voor de zekerheid hebben we gevoelige data zoals cookies en sessie-ID's ongeldig gemaakt”, laat een woordvoerder van de fotodeeldienst weten. Het bedrijf is van mening dat zij niet het doelwit van aanvallen zijn geweest.

Convo zegt in een verklaring dat het gepaste maatregelen heeft genomen. “Tot nu toe is er nog geen enkel bewijs van een schending van onze website”, stelt de woordvoerder van het bedrijf. “Tevens behoedt een passieve versleuteling dat een SSL-inbreuk niet leidt tot een aantasting van onze data.”

Gebruikers van LastPass hoeven volgens het bedrijf nergens voor te vrezen. “Onze klanten hoeven zich geen zorgen te maken over hun accounts”, staat in een blog te lezen. “Hoewel LastPass gebruikmaakt van OpenSSL, hebben we meerdere lagen van versleuteling om onze gebruikers te beschermen. Niemand heeft toegang tot die sleutels.”

 

Patches in ontwikkeling
Bedrijven werken hard aan een oplossing. Dit is nodig, omdat OpenSSL de standaard is voor webservers met Apache en NGINX. Inmiddels hebben onder meer de Linux-systemen CentOS, Debian, Fedora, Red Hat, OpenSuse en Ubuntu al een patch klaar. Suse Linux Enterprise Server (SLES) is niet geraakt door de bug.

Wanneer je twijfelt of het slim is om een bepaalde website te bezoeken kun je van tevoren via een online Heartbleed-checker bepalen of het veilig is. Hiermee bepaal je of de site kwetsbaar is voor de OpenSSL-fout. Als je zelf beschikt over een webserver doe je er verstandig aan zo snel mogelijk een update te installeren.