Moet u bang zijn voor 'het grootste internetlek ooit'?
Een lek in een veelgebruikte internetbeveiliging zorgt voor veel onrust. Hoe erg is Heartbleed, zoals het lek wordt genoemd?
Veel websites beveiligen hun verkeer op pagina's waar gewerkt wordt met gevoelige informatie. Die beveiliging zorgt er bijvoorbeeld voor dat uw inloggegevens worden versleuteld, zodat ze niet door criminelen kunnen worden onderschept en misbruikt. Een beveiligde pagina herkent u aan een slotje in de adresbalk en een webadres dat begint met 'https://'. Er zijn verschillende manieren om webpagina's te beveiligen. Een van die manieren heet OpenSSL. Afgelopen dinsdag, 8 april, werd bekend dat daarin een bug zit: Heartbleed. Hierdoor kunnen hackers gevoelige informatie aan het systeem ontfutselen. Experts beweren dat daarvoor niet veel technische kennis nodig is. De Heartbleed-bug zou al twee jaar bestaan.
(Update 12 mei: Let op: Heartbleed heeft niks te maken met de later ontdekte problemen met Internet Explorer van eind april 2014. Microsoft heeft een update uitgebracht voor die problemen. Wie de nieuwste versie van Internet Explorer gebruikt en deze heeft voorzien van de nieuwste updates, kan gerust internetten. Blijf uiteraard wel waakzaam over waar u precies wachtwoorden invult.)
Wie zijn er getroffen?
Geschat wordt dat minder dan één vijfde van alle sites die met OpenSSL werken, getroffen is. Dat zijn ongeveer een half miljoen websites. Inmiddels hebben al veel grote websites het lek gedicht. Maar het zorgwekkende aan de Heartbeat-bug is dat de hackers geen sporen achterlaten. Er is daarom op geen enkele manier na te gaan of er gegevens zijn gestolen.
Moet u iets doen?
Het is verstandig uw wachtwoord te wijzigen bij de sites die getroffen zijn door het lek. U hoeft zich overigens géén zorgen te maken over internetbankieren of DigiD. Deze zijn niet getroffen door Heartbleed. Als u gebruikmaakt van een van de volgende websites kunt u daar het beste uw wachtwoord wijzigen:
- Dropbox
- Gmail/Google
- Yahoo
Deze websites hebben hun beveiliging inmiddels aangepast, maar omdat niet zeker te zeggen is of er gegevens zijn gestolen, is het dus verstandig uw wachtwoorden aan te passen. Verder bestaat er een handig hulpmiddel op internet. U voert er een webadres in en de pagina vertelt u of de site in kwestie veilig is. De pagina is in het Engels, maar u hoeft de tekst niet te kunnen lezen. Ziet u in groen de tekst 'This server is not vulnerable to the Heartbleed attack', dan is de site veilig. U hoeft natuurlijk niet elke site te controleren: alleen sites die vragen om inloggegevens. Let op: als de melding verschijnt dat een site veilig is, betekent dit niet dat hij veilig was ten tijde van het lek. Het betekent alleen dat de site momenteel veilig is. Het blijft verstandig uw inloggegevens aan te passen.
SeniorWeb
De site van SeniorWeb gebruikt geen OpenSSL om het inloggen te beveiligen. U hoeft hier uw wachtwoord dus niet aan te passen.