Het nieuws over de Heartbleed bug verspreidde zich als een lopend vuurtje na het verschijnen van de eerste cijfers. Volgens Netcraft, een internet servicebedrijf is ruim 66% van het web kwetsbaar door Heartbleed. Maar kloppen deze cijfers wel?
Volgens het bedrijf CloudFlare is het gevaar minder groot dan aanvankelijk verwacht werd. In een rapport toont CloudFlare dat het minder eenvoudig is dan gemeld werd om misbruik te maken van de webservers met behulp van Heartbleed. Ook meldt het bedrijf dat er tot nu toe geen gevallen van datadiefstal door middel van deze kwetsbaarheid bekend zijn.
CloudFlare ontving eerder een melding van het bestaan van Heartbleed en loste het probleem twaalf dagen geleden al op voor hun eigen servers. Daarna begon het bedrijf te testen of het met Heartbleed mogelijk was geweest informatie uit hun servers te ontvreemden. “Na uitgebreide testen op onze eigen software, bleek het voor ons onmogelijk om Heartbleed te gebruiken voor datadiefstal”, aldus CloudFlare-ontwikkelaar Nicholas Sullivan.
Alhoewel het bedrijf meldt dat zij niet in staat waren Heartbleed in te zetten voor een succesvolle aanval, sluit CloudFlare de mogelijkheid dat het wel lukt niet uit. De ontwikkelaars vinden het niet terecht om te zeggen dat de kwetsbaarheid onschadelijk is, maar melden in plaats daarvan dat het “heel erg moeilijk” is om een geslaagde aanval uit te voeren. Het bedrijf heeft een challenge gelanceerd voor beveiligingsonderzoekers en hackers die Heartbleed wel kunnen inzetten om gebruikersgegeven te ontvreemden.
Netcraft volgde het initiele rapport over de kwetsbaarheid van 66% op met nieuwe informatie. Van de 66% van de webpagina’s die OpenSSL gebruiken, heeft slechts 17,5% de Heartbeet-extensie. “Niet al deze servers maken gebruik van de HTTPS-dienst en ook hebben ze niet allemaal kwetsbare varianten van OpenSSL met heartbleeds geïnstalleerd,” schrijft veiligheidstester Paul Mutton.
Desalniettemin willen de meeste webbeheerders geen risico lopen en worden er voor een groot aantal websites beveiligingsupdates uitgevoerd. Online bedrijven als Soundcloud loggen al hun gebruikers uit om er voor te zorgen dat zij opnieuw inloggen via een beveiligde server. Als je merkt dat je uitgelogd bent bij diensten die je dagelijks gebruikt kan dat hiermee te maken hebben.
Het is te vroeg om te zeggen of Heartbleed daadwerkelijk zo’n groot probleem is als in eerste instantie gedacht werd of dat het mee blijkt te vallen. De kwetsbaarheid is in ieder geval een goede herinnering aan hoe belangrijk het is online beveiliging in de gaten te houden. Bedrijven moeten blijven investeren in de ontwikkeling van betere webbeveiliging terwijl consumenten hun online gegevens zo veilig mogelijk moeten maken. Een sterk en regelmatig wijzigend wachtwoord en het gebruik van dubbele authenticatie worden daarom aangeraden.
Volg mij op Twitter via: @SophieNotten
Lees ook:
Bron: CloudFlare | Netcraft | Heartbleed
Via: The Verge
