Tækni & vísindi | mbl | 9.4.2014 | 16:47

Lykilorð í hættu vegna öryggisgalla

Öryggisgallinn gengur undir hinu myndræna nafni Heartbleed, með vísan til þess hve viðkvæmar upplýsingar gátu lekið vegna hans.

Nokkur tæknifyrirtæki og netöryggissérfræðingar hafa mælt með því við notendur sína að þeir skipti alls staðar um lykilorð, vegna öryggisgalla sem afhjúpaður var í öryggisstaðli fyrir vefþjóna fyrr í vikunni. Gallinn olli því að tölvuþrjótar gátu njósnað um notendur milljóna vefþjóna um allan heim.

Bloggvettvangurinn Tumblr, sem Yahoo heldur úti, er meðal þeirra sem ráðleggja almenningi að „skipta um lykilorð alls staðar - sérstaklega á þjónustusíðum sem krefjast öryggis eins og tölvupósti, gagnageymslum og netbönkum.“

Blæðandi hjarta

Rannsakendur hjá Google og finnska öryggisfyrirtækinu Codenomicon uppgötvuðu gallann í netþjónustunni OpenSSL, sem talið er að rúmlega helmingur allra vefþjóna í heiminum notist við. Gallinn hefur verið til staðar í um 2 ár og hafi óprúttnir aðilar uppgötvað hann á undan sérfræðingunum gæti það þýtt að þeir hafi haft nægan tíma til að misnota aðstöðu sína.

Fram kemur á vef BBC að öryggissérfræðingum sé mjög brugðið yfir að svo alvarlegur galli hafi leynst í kerfinu og segir einn tæknibloggari að á skalanum 1-10 teljist þessi galli vera 11.

Gallinn hefur verið kallaður „Blæðandi hjarta“ (e. Heartbleed) vegna þess að hann samsvarar því að mikilvægar upplýsingar leki út af vefþjónum.

Umfang skaðans er ekki vitað

Hann gaf tölvuþrjótum möguleika á að lesa minni vefþjóna og ná þannig í öryggislykla sem eru notaðir til dulkóðunar á gögnum milli notenda og vefþjóna. Þannig er t.d. hægt að komast yfir lykilorð, kortanúmer og aðrar dulkóðaðar upplýsingar sem notendur senda frá sér eða taka á móti.

Ekki er vitað með vissu hvort og þá í hve miklum mæli einhverjir hafa notfært sér gallann áður en hann uppgötvaðist, en fjarskiptafyrirtæki víða um heim hafa verið í viðbragðsstöðu vegna þessa og farið yfir kerfin hjá sér.

„Ef fólk skráði sig inn á einhverja netþjónustu á meðan glugginn var ennþá opinn þá er möguleiki á því að einhver hafi komist yfir lykilorðið þeirra,“ hefur BBC eftir Ari Takanen, öryggissérfræðingi hjá Codenomicon.

BBC hefur heimildir fyrir því að Google hafi varað fjölda fyrirtækja við, áður en tilkynnt var um gallann opinberlega, svo þau gætu lagfært netþjóna sína áður en öll heimsbyggðin vissi hver veiki bletturinn var.

Yahoo mun hins vegar ekki hafa verið eitt af þeim fyrirtækjum sem fengu viðvörun. Talskona Yahoo segir í samtali við BBC að búið sé að komast fyrir gallann núna gagnvart öllum helstu þjónustuþáttum fyrirtækisins, en það er m.a. tölvufóstur, myndasíðan Flickr og bloggvettvangurinn Tumblr.

Sjá fyrri frétt mbl.is: Öryggisgalli á helmingi vefþjóna