Heartbleed-bug – Veiligheid voor uw website (2014)

Leestijd3 minuten

Heartbleed-bug mogelijk grootste internetlek ooit

Een groot lek in OpenSLL, een versleutelingstechniek, welke in gebruik is bij enorm veel websites en online diensten, blijkt nog ingrijpender. OpenSSL is te herkennen aan het https:// in uw browserbalk. De ‘s’ staat voor ‘secure’.

Het NRC (Marc Hijink) meldt dat afgelopen weekend niet alleen wachtwoorden en inlognamen van gebruikers kunnen lekken, maar ook persoonlijke encryptiesleutels van de sitebeheerders. Bijvoorbeeld webshop-eigenaren met tal van klanten en haar klantgegevens zijn plots benaderbaar.

Opmax werkt samen met haar online juriste en heeft speciaal voor webshop-eigenaren een module ontwikkeld om zeker te zijn dat u enerzijds voldoet aan de wetgeving. Dat is iets anders dan OpenSSL. Aan die kant hebben wij een kundige partner gevonden die de verplichte https voor webshop-eigenaren kan instellen. Voordat überhaupt Heartbleed wereldkundig werd, hadden wij onze partner al aan de lijn om de zaken goed in te stellen.

Verder over het Heartbleed-lek

Deze stuurt ongewild onzettend veel informatie uit het geheugen van de server naar elke partij die daarom vraagt. De Heartbleed-bug komt voor bij circa de helft van alle ‘beveiligde’ websites op het internet. Door de bug in het zogenaamde OpenSSL-certificaat kan het interne geheugen van webservers van buitenaf uitgelezen worden.

Uit verschillende tests bleek dat onder meer grote websites als Yahoo, Facebook, Twitter, Dropbox en Flickr mogelijk kwetsbaar zijn. Onder andere Facebook en Google hebben onlangs laten weten dat ze het lek met een patch hebben “gedicht”.

Heartbleed-bug

Heartbleed-bug

Hoe erg is erg?

Het is wel duidelijke dat de Heartbleed-bug in theorie veel gegevens kwetsbaar heeft gemaakt. Maar wat dat in de praktijk voor gevolgen zal hebben blijft vooralsnog helaas zeer onduidelijk. Toch zijn veel internetspecialisten bezorgd. “Het is met gemak de ergste kwetsbaarheid sinds het massagebruik van het internet begon”, volgens de CEO Matthew Prince van cybersecuritybedrijf Cloudflare.

Zelf testen

Er zijn verschillende manieren om te controleren welke sites zijn getroffen. Mocht uzelf een website willen testen kunt u dit doen op de website van Filippo.io. De test toont direct of een site nog kwetsbaar is. Gebruikers van Google Chrome kunnen ook de extensie Chromebleed inzetten, die een waarschuwing toont als een onveilige site wordt bezocht.

Wat moet u doen?

Voor bedrijven is het installeren van gerepareerde OpenSSL-software de eerste stap in het oplossen van de Heartbleed-bug. Het goede nieuws is dat de patches voor de Heartbleed-veiligheidslekken nu voor alle belangrijke besturingssystemen beschikbaar zijn. Het slechte nieuws kan zijn, dat u in de loop van de tijd al uw eigen wachtwoorden dient aan te passen. Vervelend omdat u in al uw pc’s, laptops, smartphones en tablets dit allemaal opnieuw moet instellen. Geluk bij een ongeluk dat u toch periodiek uw wachtwoord moet veranderen.

Maar wacht nog even met het aanpassen van uw wachtwoorden. Doe dit pas als uw provider, bank of webshop u een bericht stuurt dat het probleem is opgelost.

Overzicht van getroffen grote spelers

Overzicht van getroffen grote spelers

Extra tip: kies voor een sterk wachtwoord, en niet voor standaard wachtwoorden zoals; geboortedatum, kenteken, naam partner of standaard letterreeksen.

Hoe maak je een goed wachtwoord:

  • Bevat minimaal 1 kleine letter [a-z]
  • Bevat minimaal 1 hoofdletter [A-Z]
  • Bevat minimaal 1 cijfer [0-9]
  • Bevat minimaal 1 bijzonder teken: !”#$%&'()*+-./:;<=>?@[\]^_`{|}~
  • Mag niet uw gebruikersnaam bevatten

 

Hoe veilig is de Opmax BackOffice?

Nu hoor ik u misschien denken; “zijn mijn gegevens in de Opmax BackOffice nog wel veilig?”

Ik kan u verzekeren dat onze partner, Case Builders, die onze systemen beheert, alle nodige acties en aanpassingen heeft ondernomen, om eventuele problemen te voorkomen of zelfs op te lossen.

Natuurlijk hebben wij onze BackOffice ook getest via de website van Filippo, zie het onderstaande resultaat.

Opmax BackOffice check

Mocht u toch vragen hebben, neem dan gerust contact met ons op! Ook als u wilt weten of uw webshop/website aan alle wetgevingen voldoet of dat u uw website via OpenSSL wilt beveiligen (verplicht). Wij kunnen u assisteren.