Vannacht is bekend geworden dat OpenSSL 1.0.1f een 0-day exploit bevat, bekend als de ‘Heartbleed Bug’. Deze bug zorgt er bij kwetsbare systemen voor dat willekeurige stukken geheugen kunnen worden uitgelezen. Uit onderzoek is gebleken dat voornamelijk gebruikerssessies kunnen worden achterhaald.
Zodra dit risico bij ons bekend was, heeft onze technische staf direct een update naar 1.0.1g uitgerold. Het probleem is hiermee volledig opgelost.
Omdat er geen sporen worden achtergelaten bij deze bug hebben wij tevens uit voorzorg al onze klanten uitgelogd. Je kunt inmiddels weer veilig inloggen.
Voor meer informatie over de Heartbleed Bug, zie: heartbleed.com
Update 11:18:
Uit voorzorg zijn wij ook bezig om onze SSL certificaten te vervangen. Op basis van onze dataverkeer patronen hebben wij echter geen aanleiding om aan te nemen dat deze onveilig zijn op dit moment.
Deze bug heeft er niet toe geleid dat mensen toegang hebben tot privé gegevens of wachtwoorden. Klanten die tussen gisteravond en vanochtend 10:30 hebben ingelogd hebben wel een extreem kleine kans dat hun wachtwoord tijdelijk in het geheugen stond en daarbij compromised is geraakt. Met hen wordt om veiligheidsredenen apart contact opgenomen.
Update:
Uit de Cloudflare challenge is gebleken dat private keys te achterhalen waren. Dit sterkt ons in de overtuiging dat we met het vervangen van de SSL certificaten en het snel en accuraat informeren van onze klanten de juiste handelingen hebben ondernomen.