Alarm, het internet bloed!

heartbleed_logoOnlangs werd bekend gemaakt dat ons”beveiligde” internet zo lek is als een mandje.
Het probleem dat “Heartbleed” wordt genoemd betreft een bug in het Open SSL protocol, dat op een groot deel van alle bestaande webservers actief wordt gebruikt.

Erger nog is dat dit al twee jaar lang bekend was bij de NSA, die daar dan ook dankbaar gebruik van heeft gemaakt en al die tijd allerlei gegevens, waarvan jij dacht dat ze veilig versleuteld en alleen voor jou toegankelijk waren opgevraagd. Je wachtwoorden, je bankgegevens, je ziekte historie enz. enz.

Nog erger is dat niet alleen de NSA, maar ook anderen van het lek op de hoogte waren en bij jouw gegevens konden.  Op schaal van een tot tien, wordt de ernst ervan daarom zelfs aangegeven met een elf!

Het lek is inmiddels op de meeste getroffen webservers gelukkig wel gerepareerd, maar het kwaad is al geschied. Het enige wat je kunt en ook onmiddelijk moet doen  is bij alle webdiensten die van open SSL gebruik maken (of maakten) je wachtwoorden veranderen. En dat zijn niet de minste, zo blijkt uit een inventarisatie van Mashable. Inderdaad, dus ook die van je Google, Facebook, Twitter, Dropbox en Apple accounts, maar de lijst is natuurlijk nooit compleet, dus ik zou die van je bank, energieleverancier, de webshops waar je winkelt en al die andere sites ook maar doen…

Onderstaand tekeningetje van XKCD illustreert goed hoe Heartbleed werkt.

strip over de werking van Heartbleed

Gelukkig maken de websites die PGiT host tot nu toe nog geen gebruik van SSL en heeft mijn eigen hoster Antagonist het lek natuurlijk ook direct gerepareerd.
Bovendien worden de door mij onderhouden websites automatisch gescand op kwetsbaarheden, waaronder Heartbleed.

Oudere versies van WordPress die nu of in de toekomst van SSL gebruik maken, (webshops bijvoorbeeld) zijn ondertussen wel kwetsbaar voor Heartbleed.
Maar ook de WordPress versies die geen SSL gebruiken, maar ouder zijn de versie 3.8.3. hebben een veiligheids probleem. Die blijken namelijk ongeoorloofd publiceren of zelfs inloggen door anderen mogelijk te maken door misbruik van cookies.
Snel (maar met beleid) updaten of laten updaten dus!

 

Snel updaten of laten updaten dus!