De Amerikaanse inlichtingendienst NSA is “al minstens twee jaar” op de hoogte van het grootste beveiligingslek in jaren: Heartbleed. In plaats van de schadelijke informatie te delen, hielden ze het echter voor zichzelf. Dat beweren twee anonieme bronnen aan het Amerikaanse persagentschap Bloomberg. De Amerikaanse overheid ontkent het bericht met klem.
In het bericht van het persbureau staat te lezen dat de NSA al twee jaar weet heeft van de gevaarlijke Heartbleed-bug, een probleem met de Open SSL-technologie dat ervoor zorgt dat versleutelde informatie toch lekt en bijgevolg kan misbruikt worden door hackers. Maar waarom zou de geheime inlichtingendienst informatie achterhouden die ervoor zorgt dat de geheime gegevens van miljarden mensen voor het rapen liggen? Om er zelf misbruik van te maken.
BREAKING: NSA said to have exploited Heartbleed for intelligence for years
— Bloomberg News (@BloombergNews) April 11, 2014
Via het lek kan de NSA immers ook zelf aan wachtwoorden en andere gegevens komen die ze kan gebruiken bij haar geheime operaties. Sinds de onthullingen van klokkenluider Edward Snowden is het algemeen geweten dat de NSA op grote schaal spioneert. Aangezien maar liefst 60 procent van alle websites OpenSSL gebruiken om beveiligde verbindingen op te zetten met browsers van eindgebruikers, kwam het lek misschien als geroepen voor de inlichtingendienst. Naast computers, zijn trouwens ook miljoenen mobiele telefoons en netwerkapparatuur zoals routers en firewalls extra kwetsbaar geworden.
Amerikaanse overheid ontkent
Al zijn woorden als “mogelijk” en “misschien” in dit verhaal belangrijk, want twee uur nadat Bloomberg het bericht verspreidde, ontkende de Amerikaanse overheid de berichten met klem. De woordvoerster van de Nationale Veiligheidsraad Caitlin Hayden verklaarde dat de Amerikaanse overheden pas in april hebben vernomen dat de bug bestaat. “De regering vertrouwde zelf op OpenSSL om de gebruikers van overheidswebsites te beschermen”, sprak Hayden. Daarnaast verzekerde ze dat de autoriteiten de ontwikkelaar van het programma wel zouden hebben verwittigd mochten ze de problemen eerder op het spoor zijn gekomen.
Ook de NSA ontkent de geruchten: “NSA was not aware of the recently identified vulnerability in OpenSSL, the so-called Heartbleed vulnerability, until it was made public in a private-sector cybersecurity report,” zo verklaarde een woordvoerder van de inlichtingendienst aan Mashable. “Reports that say otherwise are wrong.“
Reports that NSA or any other part of the govt were aware of the so-called #Heartbleed bug before Apr 14 are wrong: http://t.co/JhqVQOMDvE
— IC on the Record (@icontherecord) April 11, 2014
Statement: NSA was not aware of the recently identified Heartbleed vulnerability until it was made public.
— NSA/CSS (@NSA_PAO) April 11, 2014