Het lek is ontdekt door het Zwitserse Federal Institute of Technology, schrijft The New Scientist. Het Secure Socket Layer-protocol (SSL), herkenbaar aan de url 'https', wordt gebruikt bij het versleutelen van verbindingen tussen een webbrowser en een e-mailprogramma of een webserver.

De technologie wordt veel gebruikt bij creditcardbetalingen en sites voor webmail. Een met SSL-versleutelde boodschap wordt bij aankomst gecontroleerd op lengte en de versleuteling zelf. Als er iets niet klopt wordt er een foutmelding teruggestuurd.

Serge Vaudnay van het Zwitserse technologie-instituut heeft een manier gevonden om die foutmelding te bewerken. Hierdoor wordt de boodschap (of een deel ervan) gewoon leesbaar wordt. Bij de test kreeg Vaudnay elke keer een beetje meer informatie te zien. Pas na 160 pogingen was hij in staat een heel wachtwoord van acht karakters te ontcijferen.

Volgens Vaudnay is het voor het eerst dat er zo'n lek in de SSL-technologie is gevonden. Hoewel het om een ernstig lek gaat, is het wel moeilijk om dit in de praktijk te misbruiken, stelt de onderzoeker. Een hacker moet de versleutelde boodschap onderscheppen, waarvoor hij toegang tot het beveiligde netwerk nodig heeft.

Beveiligingsexpert Eric Rescorla is het met Vaudnay eens. "Een succesvolle aanval zou een aantal foutmeldingen genereren waardoor de hacker absoluut sporen achterlaat", aldus Rescorla tegenover The New Scientist.