Nederland

Beveiligde website met slotje blijkt niet zo veilig

08 april 2014 11:53 Aangepast: 08 april 2014 17:26
Ook de site van ING was vanochtend even onveilig

Het slotje waarmee je internetbrowser aangeeft of een website beveiligd is, blijkt al twee jaar kapot te zijn.

Onderzoekers zijn er in geslaagd om een bug in het versleutelingsprogramma te misbruiken om beveiligde gegevens van een server te kopiëren, zonder dat ze daarvoor moesten inloggen.

Login-gegevens kopiëren
Zo konden zij login-gegevens van beheerders van de websites, maar ook geheime sleutels voor encryptie kopiëren. Daarmee kunnen hackers nepsites opzetten die door je webbrowser als betrouwbare sites worden weergegeven

Het lek zit in OpenSSL, een programma dat de versleuteling van internetverkeer tussen de server en de website bezoeker regelt. Het gaat specifiek om de versies 1.0.1 tot en met 1.0.1f die uitgebracht zijn tussen 14 maart 2012 en 7 april 2014.

65 procent van versleutelde internetverkeer
Het is onduidelijk hoeveel servers de versie met een bug hebben, maar ongeveer 65 procent van het versleutelde internetverkeer wordt geregeld door OpenSSL. De meeste websites van de Nederlandse overheid lijken niet te zijn besmet, omdat die gebruik maken van PolarSSL. In dat programma zit de bug niet. Ook internetbankieren kan gewoon nog veilig: het bedrijf dat verantwoordelijk is voor het betalingsverkeer, Currence, laat weten een ander beveiligingssysteem te gebruiken. 

De onderzoekers zeggen niet te zien of de bug ook echt gebruikt is om gegevens te stelen, daarvoor zouden nepsites opgezet moeten worden om hackers in de val te lokken.

Om te controleren of een site onveilig is, ondanks een slotje, kijk je hier.

 

RTL Nieuws
`