Er schijnt weer een groot en vreselijk lek te zijn ontdekt te zijn op internet. Het beveiligingssysteem OpenSSL, herkenbaar aan het slotje naast de adresbalk, waar ook banken gebruik van maken, is bedoeld te voorkomen dat er cruciale, persoonsgebonden gegevens ‘weglekken’. Volgens de Amerikaanse webstek The Verge zou een op de drie beveiligde stekken kwetsbaar zijn voor inbraak. Ook zou de SSL-sleutel voor het (de)coderen van berichten daarmee op straat liggen. Via dit lek kunnen onverlaten en andere boeven zich toegang tot de gegevensopslag van de server verschaffen of zelfs eigen programmatuur op de server plaatsen. Het lek schijnt al zo’n twee jaar te bestaan, maar is nu pas ontdekt. Wie of wat er van dat lek misbruik gemaakt heeft, is onbekend.Het lek schijnt te zitten in een extensie die Heartbeat heet. Die extensie is een soort intermediair in de communicatie. “Wat ze daar kunnen doen is in feite alles”, geeft het beveiligingsbedrijf Fox-IT aan in een handleiding om schade te voorkomen. Dan hebben we het natuurlijke over gevoelige gegevens zoals wachtwoorden maar, zoals gezegd, ook over de beveiligingscode. Dat zou dan betekenen dat ook als het lek gedicht is het gevaar nog niet geweken is, zo meldt het Franse dagblad Le Monde. “Die decoderingssleutels zijn zijn de kroonjuwelen”, meldt de webstek Heartbleed.com. Daarmee valt al het beveiligde berichtenverkeer te ontcijferen en zouden echt schijnende diensten te kunnen worden opgezet, om allerlei ongerief te veroorzaken zoals het stelen van bankgegevens.
Als een bedrijf zich bedient van OpenSSL betekent dat niet dat het daarmee ook in gevaar verkeert. Er schijnen verschillende versies van OpenSSL te zijn die niet allemaal kwetsbaar zijn. Yahoo schijnt er last van te hebben, maar de grote webreuzen als Apple, Goole, Microsoft en Facebook niet. Op de stek Filippo.io/Heartbleed is te testen of een webbeveiliging nog veilig is. Hoe dan ook verstandig is het je wachtwoord(en) te veranderen.
Bron: Le Monde