Grote risico's voor internetgebruikers door beveiligingslek
12-04-2014
• leestijd 3 minuten
Door een beveiligingslek dat beter bekend staat als 'Heartbleed', lopen veel websites en internetgebruikers grote risico's. De internetwereld staat dan ook compleet op zijn kop, want door dit lek kunnen criminelen persoonlijke informatie zoals wachtwoorden en creditcardgegevens achterhalen. Het lek bestaat al anderhalf jaar en is pas deze week ontdekt. Daarmee is het één van de grootste beveiligingslekken ooit.
Hoe werkt OpenSSL?
Twee derde van de websites op het internet maakt gebruik van software om een veilige verbinding voor bezoekers tot stand te brengen. Deze software wordt ook wel 'OpenSSL' genoemd. De beveiligde verbinding moet ervoor zorgen dat vertrouwelijke informatie niet door derden kan worden onderschept. OpenSSL zorgt ervoor dat uitgewisselde data wordt versleuteld. Hierdoor kunnen twee computers veilig informatie met elkaar delen, zonder dat er iemand mee kan kijken. Of een website gebruik maakt van dit protocol is te zien aan het groene slotje links in de adresbalk. Veel programmeurs noemden deze extensie 'Heartbeat', omdat het een veilige verbinding was. Nu in dit protocol een lek blijkt te zitten, hebben beveiligingsexperts de naam veranderd in 'Heartbleed'.
Criminelen profiteren
Heartbleed is een grote fout in het protocol van OpenSSL. Door dit lek kunnen criminelen een 'pakketje' naar de server van een website sturen. De server stuurt dan automatisch een pakketje met data terug, terwijl deze informatie normaal gesproken nooit verstuurd zou worden. In theorie kunnen dieven op die manier e-mailaccounts hacken en bijvoorbeeld in je mail zoeken naar creditcardgegevens. Toch is het voor een crimineel niet zeker welke informatie hij in handen krijgt. De server van een website stuurt namelijk willekeurige informatie terug naar de hacker. Of de teruggestuurde informatie bruikbaar is, is dan nog maar de vraag.
Groot gevaar
Aangezien het lek er al ruim anderhalf jaar is, is het heel goed mogelijk dat er veel persoonlijke informatie van mensen is achterhaald. Beveiligingsexperts spreken daarom ook van een groot gevaar. Toch is de omvang van het schandaal nog onduidelijk. Veel websites nemen het zekere voor het onzekere. Zo haalde de Canadese belastingdienst zijn gehele site offline.
Kwetsbare bedrijven
Volgens een recente test blijken 48 van de duizend grootste websites op het internet
kwetsbaar
te zijn voor Heartbleed. Hieronder vind je een overzicht van de bekendste websites en in hoeverre deze met het lek te maken hebben gekregen.
Eerder werd al
bekend
dat zowel Facebook en Google na het openbaar worden van het lek, een nieuwe versie van OpenSSL zijn gaan gebruiken om zo een veilige verbinding te kunnen garanderen. Yahoo deed er langer over en was daarom tot en met dinsdag 8 april nog kwetsbaar. Over Nederlandse websites is tot op heden niks bekend gemaakt. Wel is het na te gaan via
deze
website, dat sites zoals BOL.com, Wehkamp, ING, Rabobank en ABN AMRO niet kwetsbaar zijn geweest of dat het lek in OpenSSL voor deze websites inmiddels is gedicht.
Wachtwoorden veranderen
'Moet ik nu al mijn wachtwoorden gaan veranderen?' Ja. Dit is althans wat de meeste beveiligingsexperts aanraden om te doen. Het is vooral van belang om de wachtwoorden van je eigen meest bezochte sites te wijzigen. Wanneer een website zijn beveiligde verbinding
nog niet
op orde heeft, is het niet slim om je wachtwoord aan te passen. Dit komt omdat deze uitwisseling van informatie dan nog zou kunnen worden opgevangen door criminelen. Andere beveiligingsspecialisten raden daarom aan om de berichtgeving van de websites zelf in de gaten te houden.
Bekijk
hier
of de website die je wil bezoeken veilig is.