Heartbleed

Sikkerhedsbristen Heartbleed er en programmeringsfejl i det kryptografiske OpenSSL-bibliotek. Fejlen gør det muligt for en angriber at indsamle følsomme oplysninger, inklusive brugernavne, adgangskoder og hemmelige krypteringsnøgler. Heartbleed kan udnyttes uden brugerens indblanding, og privat data kan indsamles i bundter på 64kb ad gangen. Officielt har Heartbleed fået navnet CVE-2014-0160. Berørte versioner omfatter OpenSSL versioner 1.0.1 til 1.0.1f og 1.0.2-beta. Heartbleed-fejlen er unik, da den er let at udnytte og ikke efterlader nogen spor.

Heartbleed-bristen omfatter også Heartbeat-udvidelser. Berørte brugere bør opgradere til OpenSSL-1.0.1g.

OpenSSL bruges af diverse internettjenester, inklusive e-mailudbydere og forummer. OpenSSL-projektet blev startet i 1998 for at udvikle det krypteringsredskab som i dag bruges af to tredjedele af alle webservere. OpenSSL bruges til at beskytte regeringers websteder, kommercielle websteder, websteder til softwaredistribuering og lignende. Det er blevet estimeret, at der findes omkring 1,4 millioner sårbare webservere. Tjenesteudbydere bør udbedre fejlen i Heartbleed-patchen og opfordre brugere til at ændre deres adgangskoder. Adgangskoder bør første ændres, når fejlen er blevet rettet. Hvis du har en Facebook, Instagram, Pinterest, Tumblr, Google, Yahoo, Etsy, GoDaddy, Flickr, Minecraft, Netflix, SoundCloud eller YouTube-konto, så bør du ændre din adgangskode. Det er endnu ikke sikkert om Facebook er blevet berørt, da ingen mistænkelig aktivitet er blevet registreret. Ikke desto mindre tilrådes du at opdatere dine adgangskoder for at undgå læk af private oplysninger.

Med hensyn til operativsystemer til mobiler, så bruger Apple iOS og Microsoft Phone ikke OpenSSL, og BlackBerry har meldt ud, at BlackBerry-telefoner ikke er berørte. For Android er det blevet rapporteret at Android 4.1.1 er berørt.

Det er yderst tilrådeligt at ændre adgangskoder regelmæssigt, og bruge komplekse adgangskoder. Ifølge Microsoft, så er Microsoft Account, Office 365, Yammer, Microsoft Azure og Skype ikke berørte af Heartbleed-bristen.

Heartbleed-problemet påstås at være kendt af U.S. National Security Agency, som benægter denne påstand. NSA har ikke kommenteret rapporten om sikkerhedsbristen og benægter alle påstande om at have kendt til problemet.

Heartbleed anses for at være en af de største fejl i internettets historie. For eksempel har det givet anledning til mistanke vedrørende elektronisk indgivning af skat i Canada.