/ OpenSSL bug

Datum:

Vannacht is bekend geworden dat OpenSSL 1.0.1f een 0-day exploit bevat, bekend als de ‘Heartbleed Bug’. Deze bug zorgt er bij kwetsbare systemen voor dat willekeurige stukken geheugen kunnen worden uitgelezen. Uit onderzoek is gebleken dat voornamelijk gebruikerssessies kunnen worden achterhaald.

Zodra dit risico bij ons bekend was, heeft onze technische staf direct een update naar 1.0.1g uitgerold. Het probleem is hiermee volledig opgelost.

Omdat er geen sporen worden achtergelaten bij deze bug hebben wij tevens uit voorzorg al onze klanten uitgelogd. Je kunt inmiddels weer veilig inloggen.

Voor meer informatie over de Heartbleed Bug, zie: heartbleed.com

Update 11:18:
Uit voorzorg zijn wij ook bezig om onze SSL certificaten te vervangen. Wij hebben echter geen aanleiding om aan te nemen dat deze nu onveilig zijn.

Onderzoekers die de patch hebben geschreven voor OpenSSL hebben de bug uitgebreid onderzocht, waarbij is gebleken dat er niks anders dan socket buffers werden teruggegeven. Om deze reden, gecombineerd met een eigen analyse op ons dataverkeer patroon, zijn wij ervan overtuigd dat onze SSL certificaten niet compromised zijn.

Deze bug heeft er niet toe geleid dat mensen toegang hebben tot privé gegevens of wachtwoorden. Klanten die tussen gisteravond en vanochtend 10:30 hebben ingelogd hebben wel een extreem kleine kans dat hun wachtwoord tijdelijk in het geheugen stond en daarbij compromised zijn geraakt. Met hen wordt om veiligheidsredenen apart contact opgenomen.

Update:
Uit de Cloudflare challenge is gebleken dat private keys te achterhalen waren. Dit sterkt ons in de overtuiging dat we met het vervangen van de SSL certificaten en het snel en accuraat informeren van onze klanten de juiste handelingen hebben ondernomen.