Hackers laten geen sporen na
Surfers kennen beveiligde verbindingen van het slotje in de adresbalk en de ‘https’-prefix, in plaats van het meer gekende ‘http’. Zulke verbindingen maken gebruik van de versleutelingssoftware OpenSSL en garanderen normaal dat gegevens die worden gedeeld veilig zijn. Door Heartbleed kunnen aanvallers echter heel eenvoudig die gegevens bekijken en gebruikersnamen en wachtwoorden verzamelen.
Dat is niet enkel voor de gebruiker een groot risico, het is ook een immens probleem voor elke webretailer. De bug zou immers al twee jaar in het systeem zitten en wie er gebruik van maakt, laat geen sporen achter. Online retailers die gebruik maken van het systeem met het Heartbleed-lek kunnen daarom niet garanderen dat de betaalinformatie die hun klanten tijdens deze periode hebben doorgegeven veilig waren.
Deuk voor vertrouwen consument
Ook het aanpassen van gegevens heeft weinig zin, omdat hackers die zonder problemen opnieuw kunnen bekijken, zolang het lek niet gedicht is. Beveiligingsexpert Mark Seiden zegt dan ook aan The New York Times dat gebruikers best even wachten, totdat alle lekken gedicht zijn.
Naar schatting zou ongeveer de helft van alle webservers gebruik maken van OpenSSL, wat meteen de omvang van het probleem toont. Er is wel al een fix voor het probleem vrijgegeven en grote sites hebben het lek al gedicht. Toch mag het duidelijk zijn dat dit soort lekken slecht zijn voor het vertrouwen dat de consument heeft in online aankopen.
