Beveiligingsonderzoekers struinen het web af op zoek naar websites waarvan de HTTPS-optie (nog) kwetsbaar is voor de OpenSSL-implementatie van Heartbeat. Onderzoekers van de University of Michigan voerden een IPv4-scan uit met ZMap en stuitten op tienduizenden kwetsbare webservers..

Tooltjes voor consumenten

Los van wetenschappelijk onderzoek, duiken er ook tools voor consumenten op. Zo is er voor Chrome de extensie Chromebleed. De add-on gebruikt de scanner van Italiaanse onderzoeker Filippo Valsorda. Deze tool controleert sites op het bewuste gat in de SSL-implementatie en is direct op dezelfde dag dat het bug werd onthuld verschenen. Een aantal grote sites hadden het gat toen al gedicht. Anderen, waaronder Yahoo, bleven kwetsbaar.

Clouddienst LastPass, zelf ook geraakt maar inmiddels gerepareerd, biedt een nu ook de optie om te zien of een site in de wachtwoordendatabase van gebruikers kwetsbaar is of was. Als een site zijn certificaat nog niet heeft ingetrokken, waarschuwt LastPass om het wachtwoord nog even niet bij te werken.

Wat is Heartbleed precies, wat zijn de gevolgen en wat moeten we doen om weer veilig te kunnen internetten?

5 brandende vragen over OpenSSL-gat Heartbleed