De Heartbleed Bug

Peter van Noord   •  15 april 2014

De Heartbleed Bug. De kranten stonden er vorige week vol mee, en naar de ware omvang van dit beveiligingslek kunnen we enkel nog gissen. Maar wat houdt dit nu eigenlijk is, wat zijn gevolgen en wanneer moet je actie ondernemen?

Wat is de Heartbleed Bug?Heartbleed Bug

Al met al is de Heartbleed Bug een redelijk technisch verhaal. Waar het op neer komt is dat er een groot lek zit in de OpenSSL Library die gebruikt wordt voor het opzetten van beveiligde internet verbindingen. Denk hierbij aan SSL en HTTPS. Het gevolg hiervan is dat verkeer waarvan men dacht dat het beveiligd was, dat niet altijd is.

Deze bug veroorzaakt dat iemand een malafide request naar de server kan sturen, waardoor de server een deel van zijn geheugen terugstuurt. In dat geheugen kunnen wachtwoorden, encryptiesleutels en dat soort dingen staan. Je hoeft een site (of mail of …) dus helemaal niet te gebruiken, terwijl er toch gegevens van jou ontfutseld kunnen worden. Mocht je meer willen weten over de Heartbleed Bug, kijk dan eens op heartbleed.com, of lees dit stripje voor een haarfijne uitleg.

Welke sites zijn kwetsbaar voor deze bug?

Het is goed mogelijk dat u, direct of indirect, geraakt bent door deze bug. OpenSSL technologie wordt wereldwijd door veel websites gebruikt. Het Amerikaanse blog Mashable liet uitzoeken welke sites kwetsbaar waren voor deze bug, vormde een lijst met de meest gebruikte geïnfecteerde sites en vond onder anderen Facebook, Google, Twitter, Yahoo en Dropbox op de lijst. Dat zijn niet de minste namen, en dat geeft nogmaals de omvang van dit lek weer. Wij raden u aan om deze lijst te raadplegen, en mogelijke wachtwoorden die u hier heeft te wijzigen.

Wat betekent dit voor mijn ecManager webshop?

ecManager maakt gebruik van closed source .NET technologie. Om onze shops draaiende te houden wordt gebruikt gemaakt van IIS. Deze technologie is niet vatbaar voor de Heartbleed Bug. Voor koppelingen wordt onder andere SSH gebruikt. De door ons gebruikte versie van SSH is wederom niet vatbaar voor de Heartbleed Bug. Als uw webwinkel draait op ecManager loopt u dus geen beveiligingsrisico, en hoeft u op dit vlak geen actie te ondernemen.

Peter van Noord is partner en mede oprichter van De Nieuwe Zaak. Binnen de directie is hij verantwoordelijk voor operations en (door)ontwikkeling van e-commerce software.
Blijf op de hoogte

Meld u aan voor onze wekelijkse e-commerce nieuwsbrief en blijf op de hoogte van het laatste e-commerce nieuws!

© 2018 De Nieuwe Zaak