Heartbleed-beveiligingsbug: wat Apple-gebruikers moeten weten
De nieuw ontdekte Heartbleed-bug wordt de ergste beveiligingsbug ooit op het web genoemd.
Hiermee kunnen hackers wachtwoorden en inloggegevens stelen wanneer gebruikers kwetsbare sites bezoeken - onopgemerkt. Dat is het slechte deel: getroffen sites hebben waarschijnlijk geen idee dat ze kwetsbaar zijn. De bug is onderhevig aan: een noodbeveiligingsadvies. Sommige experts schatten dat tot 66% van de internetservers kan worden getroffen. Elke server moet handmatig worden gerepareerd. Het kan dus even duren.
Ondertussen:
- Log niet in op sites totdat je officieel alles duidelijk hebt gekregen.
- Wijzig al uw wachtwoorden voor websites en e-mail. Vooral voor gevoelige sites zoals banken, creditcards en webmail. Echter: wacht tot u weet dat een site is gepatcht voordat u wachtwoorden wijzigt. Sites zoals Tumblr en Yahoo stuurden eerder vandaag waarschuwingsmails om gebruikers te vertellen hun wachtwoord te wijzigen.
- Apple.com en iCloud lijken niet te worden beïnvloed, volgens deze (onofficiële) lijst op Github.
- Installeer de Chromebleed Checker voor de Chrome-browser van Google — er verschijnt een waarschuwing als een site kwetsbaar is (Cult of Mac is dat niet. Zie screenshot hieronder).
We hebben contact opgenomen met de PR-afdeling van Apple voor commentaar. Nog geen antwoord. We zullen updaten als Apple een verklaring aflegt of een advies uitbrengt.
De Heartbleed-bug is een vervelende. Het is van invloed op webservers - de computers die websites van stroom voorzien. Het heeft geen invloed op uw computer of iOS-apparaat, maar het maakt u kwetsbaar omdat hackers mogelijk uw gegevens kunnen stelen van de sites die u bezoekt. Het is een fout in OpenSSL, een coderingstechnologie die door de overgrote meerderheid van websites op internet wordt gebruikt, hoewel blijkbaar niet de website van Apple of zijn online services zoals iCloud. Ook Google, Microsoft en grote banken lijken niet kwetsbaar, maar veel kleinere sites en servers zouden dat wel kunnen zijn.
Door de fout kunnen hackers gegevens uit het werkgeheugen van een server halen, inclusief de coderingssleutels van de server. Dat zou hackers in staat stellen om al het verkeer van en naar de server te decoderen, waardoor gevoelige gegevens zoals logins, wachtwoorden en al het andere worden blootgelegd.
U kunt hiermee individuele sites controleren Heartbleed-checker.
Het is van invloed op een oudere versie van OpenSSL die al twee jaar bestaat, dus zelfs sites die zijn bijgewerkt, waren in het verleden mogelijk kwetsbaar. Niemand kan het zien, want de fout stelt hackers in staat om gegevens te plunderen zonder enig spoor achter te laten dat ze daar waren. Er zijn aanwijzingen dat hackers zich bewust zijn van de fout en deze hebben misbruikt, volgens rapporten.
Er is een meer technische uitleg op Heartbleed.com, die schat dat tot 66 procent van het internet kwetsbaar kan zijn. Grote diensten zoals Yahoo, OKCupid en Tumblr gebruiken OpenSSL om gegevens te versleutelen.
Totdat de meeste webservers zijn gerepareerd, is het beste advies om tijdelijk weg te blijven van sites die uw privégegevens kunnen vrijgeven.
Kwetsbare servers zullen door hun beheerders per server moeten worden gepatcht, wat dagen of zelfs weken kan duren. En er is geen garantie dat alle kwetsbare servers worden gepatcht. Het beste advies is om ze per locatie te behandelen.
En als je echt veiligheidsbewust bent, is het TOR-project is aan het adviseren dat u het internet misschien helemaal wilt vermijden.
