A titkosszolgálat is kihasználta az internet legnagyobb hibáját

-

Az Egyesült Államok titkosszolgálata évek óta ismerte és kihasználta az OpenSSL hibájáról fakadó biztonsági rést, amely lehetővé teszi a böngésző és a szerver közti kommunikáció „lehallgatását”.


Az NSA azért tartotta legalább két éven át titokban a Heartbleed bugról szerzett ismereteit, mert a titkosszolgák maguk is rendszeresen kihasználták a kommunikációs rést, hogy megszerezzék az általuk megfigyelt személyek jelszavait, beleolvashattak a megfigyelés alatt lévők kommunikációjába – írja a Bloomberg egy a hírügynökség birtokába került, az amerikai titkosszolgálat által azóta cáfolt jelentésre hivatkozva. A jelentés szerint a nyílt forráskódú SSL-protokoll 2012-es javítása során került a rendszerbe az ominózus hiba, amelyre az amerikai titkosszolgálatok szakemberei nem sokkal később rá is bukkantak. Ám ahelyett, hogy felhívták volna a figyelmet a Heartbleedre, vagy megoldást kínáltak volna annak megszüntetésére, inkább beépítették a biztonsági kiskaput a megfigyelési rendszereikbe, és kihasználták azt saját céljaikra. Az NSA-t várhatóan minden oldalról támadni fogják a kiszivárgott jelentés kapcsán, hiszen azzal, hogy nem hívta fel rögtön a figyelmet a Heartbleedre, illetve nem próbálta meg kiküszöbölni azonnal a fennálló biztonsági hibát, megszegte a titkosszolgálat egyik legalapvetőbb, az amerikai állampolgárok védelmét mindenek elébe helyező szabályát. Ha az NSA tudott az OpenSSL hibájáról, akkor más kormányzatok titkosszolgálatai, esetleg terrorszervezetek is tudhattak arról – állítják a szakértők, akik szerint az amerikai titkosszolgálat felelőtlenül járt el, hogy ilyen sokáig nem tömte be a rést a pajzson. A Heartbleeed ugyanis láthatóvá tette a felhasználók jelszavait – az adathalászok akár több millió bankszámlához, elektronikus vásárlási oldalhoz, e-mail fiókhoz tartozó azonosítóhoz és jelszóhoz juthattak hozzá, mielőtt a szakértők a hibát kijavították.