Het ‘grootste lek ooit in het internet’ zal niemand ontgaan zijn de afgelopen weken. De fout in het open source protocol OpenSSL, die de naam Heartbleed meegekregen heeft (een verbastering van de naam van de functie heartbeat waar de fout in verborgen zit), zorgt ervoor dat kwaadwillenden informatie die alleen versleuteld beschikbaar zou moeten zijn, kunnen onderscheppen. Omdat OpenSSL een van de meest gebruikte technieken voor versleuteling van informatie is, waren honderdduizenden websites kwetsbaar.
Hoe werkt Heartbleed? Deze XKCD-comic legt het probleem op heldere wijze uit. Het gaat er dus om dat je een server kunt bedriegen om informatie uit het geheugen van de server prijs te geven. In het geheugen van de server kunnen zich gebruikersnamen en wachtwoorden bevinden, maar in uitzonderlijke gevallen zelfs de private key die de server gerbuikt. Met deze private key kan alle versleutelde informatie die naar de server gestuurd wordt, ontsleuteld worden.
Om maar even een open deur in te trappen: bedrijven die hun versie van OpenSSL niet bijgewerkt hebben, kunnen juridisch een groot probleem hebben, zeker wanneer zij persoonsgegevens verwerken. Op grond van de wet moet een verwerker van persoonsgegevens passende technische en organisatorische maatregelen ten uitvoer leggen om de persoonsgegevens die hij verwerkt te beschermen. Het gebruik van versleuteling is zo’n technische maatregel, maar dan moet je die versleuteling wel aanpassen wanneer de situatie daarom vraagt.
In dit geval zullen bedrijven die gebruik maken van OpenSSL in de eerste plaats hun versie van OpenSSL moeten updaten naar de nieuwe versie, waarin het Heartbleed-lek gedicht is. Dat is naar mijn mening echter niet genoeg. Nu mogelijk ook de private key van een server onderschept is in de periode dat Heartbleed nog niet gedicht was, moet een bedrijf eigenlijk ook de private keys vervangen. Het heeft immers geen zin om het kelderluikje te vergrendelen, als het slot op de voordeur niet meer werkt.