Heartbleed: groot beveiligingslek bij half miljoen sites

Veel grote internetbedrijven werken met OpenSSL: versleutelingssoftware die ervoor zorgt dat met wachtwoorden beveiligde verbindingen toegankelijk zijn voor de gebruiker – en niet voor anderen. De meesten kennen het beveiligingssysteem van het slotje in de adresbalk. Nu blijkt dat er al twee jaar lang een programmeerfout in het systeem zit. Het lek heeft de naam Heartbleed meegekregen.Gegevens op straat

Door de fout konden kwaadwillenden al deze tijd ongemerkt het versleutelde verkeer afkijken: wachtwoorden, e-mails, maar ook webshop- en banktransacties. Op deze manier kunnen er e-mails worden verstuurd vanuit jouw naam. Ook kunnen hackers gemakkelijk een schijnbaar goed beveiligde website aanmaken met de domeinnaam van een bestaand bedrijf. Dit maakt phishing oncontroleerbaar – je weet dan immers niet of je je gegevens intypt op het veilige gedeelte van de site, of dat er criminelen achter zitten.

Er zijn aanwijzingen dat vanaf november vorig jaar daadwerkelijk gegevens worden getapt. Nu de bug bekend is, en nog niet alle websites hun beveiliging hebben aangepast, kan het misbruik nog groeien. Wat voor informatie is afgetapt is niet te zien: er worden namelijk geen sporen bij achtergelaten.Hoe werkt misbruik via Heartbleed?

Dankzij het beveiligingslek kunnen kwaadwillenden een verzoek om een 'pakketje' met data naar de server sturen, en vervolgens een pakketje terugkrijgen met extra informatie, die normaliter beveiligd is.Bekijk de uitleg in stripvormWat nu?

Hoeveel gevaar loop jij als internetgebruiker? Waar moet je op letten/ En hoe kun je de risico's voor jezelf zoveel mogelijk verkleinen?Lees onze anti-Heartbleed-tips

Tekst: TROS Radar