Internetlek Heartbleed lijkt erger dan gedacht. Door het lek is het mogelijk om de beveiligingssleutel van websites te verkrijgen die ook na het dichten van Heartbleed kan worden gebruikt om informatie buit te maken.

Dat meldt Cloudfare op zijn blog. Eerder vroeg het internetbedrijf aan witte hackers - hackers die beveiligingslekken aan de kaak willen stellen in plaats van te misbruiken - om de beveiligingssleutel van een door Heartbleed getroffen website te hacken.

De Heartbleed-bug is een kwetsbaarheid in veiligheidssoftware OpenSSL. Die software wordt gebruikt door de helft tot tweederde van alle sites om informatie als wachtwoorden, creditcards en andere gevoelige informatie veilig te versturen.

De beveiligingsonderzoekers van Cloudfare lukten het niet om de SSL-sleutel van een door Heartbleed getroffen website te hacken. Toch is het twee witte hackers gelukt om de SSL-sleutel van de betreffende website te verkrijgen.

SSL-sleutel

Met de SSL-sleutel is het mogelijk om, ook nadat een website het Heartbleed-lek heeft gedicht, informatie buit te maken. Dit duidt er mogelijk op dat hackers SSL-sleutels van belangrijke websites hebben verzameld die ook na het dichten van het Heartbleed-lek kunnen worden gebruikt om gevoelige data als creditcardgegevens of e-mails en wachtwoorden te stelen.​

De SSL-sleutel kan door een website worden veranderd door een nieuw SSL-certificaat aan te vragen. Veel websites hebben dit inmiddels gedaan. 

Cloudfare beweerde eerder dat het "vrijwel onmogelijk" was voor derden om de SSL-sleutels in handen te krijgen. 

Heartbleed: wat u moet weten over het ‘grootste internetlek ooit’