Hacker har udnyttet fejlen til at skaffe private oplysninger

Selv om Heartbleed-fejlen har været til stede på nettet i over to har der ikke været beviseligt udnyttelse af hullet af hackere eller andre personer med ondsindede gerninger.

Der har endda været tvivl om at det overhovedet kunne lade sig gøre, at udnytte fejlen, der gemmer sig i den såkaldte OpenSSL-protokol, der passer på din data, når du surfer på sikre websider (Facebook, Gmail, netbanker m.m.).

Men en russisk hacker ved navn Fedor Indutny har på Twitter påstået, at han med succes har fået udnyttet hullet til at trække private oplysninger ud. Noget der vel er enhver webbrugers værste mareridt.

Men inden chokket melder sig, er der tale om et godsindet hack.

Just cracked @CloudFlare ’s challenge: https://t.co/8ZPSxyKF4D . I wonder when they’ll update the page.
— fosstodon.org/@indutny (@indutny) April 11, 2014

Det vil sige, at hackeren har på opfordring af webtjenesten Cloudflare.com, prøvet at finde muligheder for udnyttelse. Cloudflare blev selv ramt af Heartbleed, og satte et hold programmører til at finde måder at udnytte Heartbleed på. Det var dog uden held. Så de opfordrede i stedet hacker-fællesskabet til at prøve, om det virkelig kunne lade sig gøre at stjæle personlige oplysninger gennem fejlen.

Og det kunne Fedor Indutny altså. Og efterfølgende har en anden hacker også meldt sig på banen, og afsløret, at han/hun kunne trække de private nøgler ud af OpenSSL.

Så tvivlen er blevet manet til jorden. Man kan udnytte fejlen, men heldigvis ser det endnu ikke ud til, at det faktisk er sket af ondsindede hensigter, så endnu kan folk ånde lettet op og i stedet ændre kodeord på diverse tjenester, som har lukket fejlen.

Kilde: The Verge