Securitybedrijf Cloudflare heeft dit weekend een wedstrijd georganiseerd voor hackers om de SSL-sleutel van een site met de Heartbleed-kwetsbaarheid in OpenSSL te bemachtigen. Twee beveiligingsonderzoekers is dat binnen enkele uren gelukt. Het dichten van het Heartbleed-lek is niet genoeg, de private keys moeten ook worden vervangen.

"Het is mogelijk om de private keys te achterhalen. De wedstrijd is gewonnen door Fedor Indutny en Ilkka Mattila binnen 9 uur nadat we de wedstrijd startten. Fedor stuurde 2,5 miljoen verzoeken naar de server, Ilkka stuurde 100.000 verzoeken. De conclusie is dat iedereen zijn huidige private keys zou moeten terugtrekken en vervangen", schrijft Cloudflare.

Run op SSL-keys

Mogelijk hebben hackers al langer SSL-sleutels van belangrijke sites verzameld en worden die momenteel ingezet om gevoelige data zoals betaal- en logingegevens buit te maken. De certificatenuitgevers draaien al overuren.

Maar websites moeten ook vorige certificaten intrekken. Volgens onderzoeksbureau Netcraft is dat de afgelopen dagen te weinig gedaan. Volgens Netcraft zijn 30.000 van meer dan 500.000 ssl-certificaten die zijn getroffen door de Heartbleed-bug opnieuw uitgegeven, maar een veel kleine aantal, enkele duizenden, is ingetrokken.

Wat is Heartbleed precies, wat zijn de gevolgen en wat moeten we doen om weer veilig te kunnen internetten?

5 brandende vragen over OpenSSL-gat Heartbleed