Volgens het Amerikaanse Persbureau Bloomberg was de NSA al 2 jaar bekend met de Heartbleed bug en heeft ze de kwetsbaarheid in OpenSSL regelmatig gebruikt om informatie te verzamelen. Bloomberg beroept zich op bronnen die “op de hoogte van de situatie” zijn.
De beslissing van de NSA om de bug in het kader van nationale veiligheidsbelangen geheim te houden zal de discussie over de rol van de computerexperts van de Amerikaanse overheid weer flink doen oplaaien.
Heartbleed lijkt een van de grootste lekken in de geschiedenis van het internet te zijn. Maar liefst tweederde van de websites wereldwijd wordt er door geraakt. De ontdekking en de advisory die 5 dagen geleden door onderzoekers werd gepubliceerd heeft er toe geleid dat consumenten massaal hun wachtwoorden hebben gewijzigd, dat de Canadese overheid de elektronische belastingaangifte heeft uitgesteld en dat grote technische bedrijven zoals Cisco Systems en Juniper Networks patches voor hun systemen hebben uitgebracht. Ook worden er enorm veel nieuwe SSL certificaten uitgegeven.
Door de Heartbleed bug stilletjes aan het arsenaal toe te voegen is de NSA in staat geweest om wachtwoorden en andere belangrijke gegevens te verkrijgen. De prijs hiervoor was hoog. Miljoenen gewone gebruikers zijn aan hun lot overgelaten en al die tijd kwetsbaar geweest voor aanvallen door geheime diensten en cybercriminelen.
Jason Healey, directeur van het “cyber statecraft initiative at the Atlantic Council“ en een voormalige luchtmacht officier verklaart: “De security community zal geen spaan van ze heel laten na deze onthulling."
De NSA heeft zojuist op twitter ontkend van Heartbleed op de hoogte te zijn geweest voordat de kwetsbaarheid afgelopen week openbaar werd.
Deze posting is gelocked. Reageren is niet meer mogelijk.