De server-status van webserver Apache is zowel bij de meeste servers van de overheid als populaire websites goed ingesteld. Apache is het populairste webserverplatform voor het hosten van websites. De software beschikt over de module mod_status waarmee eenvoudig technische informatie over de webserver is te raadplegen. Informatie zoals IP-adressen van bezoekers, de bijbehorende http requests, virtuele hosts, uptime en CPU verbruik.

De server-status is, mits ingeschakeld, eenvoudig via http://serveradress.tld/server-status op te vragen. Eind oktober lieten beveiligingsonderzoekers van Sucuri Labs al zien dat bij een aantal populaire sites de server-status benaderbaar is via het internet. Het bleek onder andere dat organisaties als Cisco en Ford op hun websites de server-status open hadden staan.

Nederland
Jasper Nugteren, onderzoeker bij Montelbaan, besloot de situatie voor Nederland te onderzoeken. Hij bezocht de 634 overheidssites van almanak.overheid.nl. Dat leverde op zich een positief beeld op: van deze websites waren er slechts 3 met een server-status die van buitenaf te bekijken is.

De opmerkelijkste gevonden website was http://publiekeomroep.nl/server-status. Maar ook van de websites Veiligheid- en Gezondheidsregio Gelderland-Midden en het College voor de toelating van gewasbeschermingsmiddelen en biociden stonden de server-status open.

Uitschakelen
"Het mag duidelijk zijn dat wanneer de status op Internet beschikbaar is, een Apache server hiermee informatie gevoelige informatie lekt. Informatie over het systeem zelf maar ook de adressen van de bezoekers, die beiden kwetsbaar maakt", aldus de onderzoeker. Die merkt op dat het uitschakelen van de status eenvoudig online te vinden is.

Nugteren keek verder naar de populairste websites van Nederland en Amerika. In Nederland hadden 6 van de 500 sites hun server-status open staan, in Amerika waren dit er 11 van de 500.