Lek in beveiliging van veel websites

Door een lek in de versleutelingssoftware van veel websites waren tijden lang vertrouwelijke gegevens te onderscheppen. OpenSSL bracht dinsdag een verbeterde versie uit van de software die door de meerderheid van de sites voor het versleutelen van gevoelige data wordt gebruikt. Websitebeheerders sloegen daarna massaal aan het updaten.

De bug staat bekend als Heartbleed en zou al twee jaar aanwezig zijn in OpenSSL. Veel sites die een login vereisen maken gebruik van OpenSSL voor het opzetten van versleutelde verbindingen.

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie heeft dinsdag ook gewaarschuwd voor de kwetsbaarheid in OpenSSL. Het is volgens het NCSC niet mogelijk om te achterhalen of hackers het lek al hebben misbruikt op servers. Bedrijven en instanties zouden voor de zekerheid hun OpenSSL-certificaten en -sleutels kunnen vervangen. In de sites van de grote Nederlandse banken zit het lek momenteel niet meer.

Het lek maakt het mogelijk om het interne geheugen van een server uit te lezen en zo ontsleutelde data te bekijken. Bovendien zou dat niet te traceren zijn. Ook versleuteld verkeer dat eerder is opgeslagen is nog in te zien. Het lek zou daardoor ook zijn te gebruiken door de Amerikaanse inlichtingendienst NSA, waarvan bekend is geworden dat die veel versleuteld internetverkeer onderschept en bewaart.