Nog maar acht van de 500 populairste sites in Nederland blijken kwetsbaar voor de kritieke OpenSSL-bug Heartbleed. Wereldwijd proberen beheerders in allerijl hun systemen te patchen. Vooral voor routers bij thuisgebruikers levert bijwerken problemen op.
Uit een inventarisatie van Tweakers blijkt dat acht van de Alexa Top 500 van meest bezochte sites vanuit Nederland vatbaar te zijn voor de OpenSSL-bug die dinsdag bekend werd. Hoeveel sites aanvankelijk kwetsbaar waren is niet bekend.
Ongeveer 17,5 procent van alle ssl-sites wereldwijd, in totaal een half miljoen, zou aanvankelijk kwetsbaar zijn geweest, becijferde Netcraft. Hoewel meer dan 66 procent van de servers wereldwijd Apache of nginx, en daarmee OpenSSL, draait, maakt lang niet ieder site gebruik van https. Vrijwel alle grote sites en diensten, zoals die van Google, Yahoo, Facebook en Microsoft, waren bij het bekendmaken van de bug al bijgewerkt, of bezig dit te doen. Yahoo bleek dinsdag nog wel relatief lang kwetsbaar, blijkt onder andere uit een blogstuk van Fox-IT en ook tientallen andere sites uit de Alexa Top 1000 van wereldwijd populaire sites, zoals Kickass Torrents, OKCupid, XDA Developers. Otto.nl en WeTransfer waren kwetsbaar.
Beheerders van kleinere sites zijn ook veel minder snel in het bijwerken en dit is vooral ernstig bij webshops. Uit een snelle rondgang langs grote tot middelgrote webshops, vond Tweakers vijftien kwetsbare sites, die daarmee klantgegevens zoals creditcardnummers kunnen lekken.
Daarnaast is de verwachting dat de zogenoemde Heartbleed-bug effect gaat krijgen bij routers. Vooral thuisgebruikers hebben geen idee of hun modem annex router kwetsbaar is, schrijft The Register. Als ze het al weten zijn ze afhankelijk van de leverancier voor een firmware-upgrade en oudere apparaten worden waarschijnlijk niet meer bijgewerkt.
Dinsdag werd de Heartbleed-bug bekend. De bug zit in OpenSSL, die veel diensten wereldwijd gebruiken voor de ssl-encryptie voor hun sites. De bug zit in de 'heartbeat'-extensie, die computers een berichtje laat sturen om te verifiëren dat een systeem aan de andere kant van de ssl-lijn nog steeds online is en kan reageren.
Het bleek mogelijk een kwaadaardig Heartbeat-bericht te maken dat een server overhaalt de inhoud van zijn geheugen prijs te geven. Daarmee zouden onder andere wachtwoorden en creditcardgegevens op straat kunnen komen. Er zou weinig technische kennis nodig zijn om de kwetsbaarheid te benutten en het lek zou al twee jaar in de software zitten.