Vanochtend werd bekend dat er een kritiek lek in OpenSSL is aangetroffen. Deze software wordt door meer dan de helft van de (web)servers op internet gebruikt om onder andere beveiligde https-verbindingen op te zetten. De software was lange tijd kwetsbaar.

Hackers kunnen de bug actief misbruiken om privacygevoelige gegevens te onderscheppen. Door een lek in de software kan normaal versleutelde data uit het geheugen van servers gestolen worden zonder enig spoor achter te laten. OMT heeft getest of Apple’s services als iCloud en OS X Server kwetsbaar zijn voor het lek, dit blijkt niet het geval.

Wil dit zeggen dat OS X en iOS-gebruikers standaard veilig zijn? Nee. Het lek bevindt zich aan de kant van servers en niet aan de kant van de computer van de gebruiker. In theorie zou iedere server (website, dienst) waar verbinding mee gemaakt wordt kwetsbaar zijn. Of een website kwetsbaar is voor het lek dat Heartbleed heet, is te testen via een speciale checker die door een ontwikkelaar is opgezet. Wij raden aan geen gegevens als wachtwoorden en creditcardnummers in te voeren op websites die kwetsbaar zijn.

Apple Premium Resellers waren kwetsbaar Enkele Apple Premium Resellers met een webshop waren kwetsbaar voor de bug, maar hebben hun servers inmiddels gepatcht. iCentre en Xando werden in het geheel niet getroffen door de bug. Na berichtgeving van OMT hebben ook A-Mac en tweedehands Mac-winkel Leapp hun servers gepatcht.

Ook veel collega-techsites waren kwetsbaar. Wie een eigen OS X-server draait hoeft zich geen zorgen te maken. Apple gebruikt een versie van OpenSSL (0.9.8) die het lek niet bevat. De bug die het lek veroorzaakt werd in versie 1.0.1 geïntroduceerd. Systeembeheerders die Linux-servers beheren wordt aangeraden te checken welke versie van OpenSSL gebruikt wordt en indien nodig te updaten naar een veilige versie van de encryptiesoftware.

Uitgebreide technische informatie is te vinden op Heartbleed.com