Afgelopen week is er een kwetsbaarheid in de cryptografie-library OpenSSL bekend gemaakt. Deze kwetsbaarheid wordt “The Heartbleed Bug (CVE-2014-0160)” genoemd en maakt het voor kwaadwillende mogelijk data welke versleuteld is, via een redelijk ingewikkelde truck, toch te kunnen lezen. (details te lezen op: http://heartbleed.com)
OpenSSL wordt door een groot deel van het internet op SSL pagina’s (deze beginnen met https://) gebruikt voor het versleutelen van de data welke van en naar deze pagina’s gestuurd wordt. Nadat de bug bekend gemaakt is heeft Savvii direct binnen haar infrastructuur de OpenSSL-library voorzien van de hotfix, welke bij bekendmaking beschikbaar is gesteld, en nieuwe SSL certificaten aangevraagd voor de met SSL beveiligde bestelpagina’s bij Savvii. Hierdoor is het bij Savvii niet meer mogelijk versleutelde data in te kunnen zien middels deze bug.
Ondanks dat de bug pas afgelopen week ontdekt/bekend gemaakt is, blijkt hij toch al langer gebruikt te kunnen worden aangezien de betreffende versie van OpenSSL (versie < 1.0.1g & 1.0.2beta) waarin hij voorkomt al meer dan een jaar oud is.
Het misbruik van deze bug is niet te achterhalen, hierdoor kan geen enkele partij welke gebruik maakt van SSL pagina’s garanderen dat er geen informatie onderschept is. Savvii adviseert dan ook om wachtwoorden welke gebruikt worden bij diensten via SSL pagina’s (denk aan internetbankieren, sites waarbij inloggen vereist is etc.) te resetten. Uiteraard geldt dit ook voor het wachtwoord van het Savvii controlpanel, via https://admin.savvii.com kun je onder het menu-item “Account” je Savvii wachtwoord resetten.
Tot slot mocht je zelf een site hosten welke voorzien is van SSL en willen weten of jouw site en hosting provider beveiligt zijn tegen de Heartbleed Bug kunt dit op onderstaande URL testen:
Reactie achterlaten