eine neu entdeckte Sicherheitslücke im Protokoll von Open-SSL zwingt die Internet-Nutzer schon wieder Ihre Passwörter zu ändern.

heartbleed-sicherheitslückeAm 7. April wurde eine Sicherheitslücke bekannt, bei der es recht einfach möglich ist auch eine verschlüsselte Verbindung abzuhören, oder besser gesagt, mit einem Trick den Server anzurufen und bei der Gelegenheit gleich den Benutzernamen und das Passwort aus dem Arbeitsspeicher zu lesen. Grund dafür ist die fehlende Sicherheit in der OpenSSL Implementierung der Heartbleed Erweiterung der Transportschicht (TLS un DTLS). Dabei schickt der Server den sogenannten Payload-Teil an den Absender zurück, allerdings überprüft er dabei nicht die Datenlänge und somit kann ein Angreifer bei jeder Anfrage bis zu 64 KB aus dem Arbeitsspeicher auslesen.

In einigen Tests gelang es wohl, den privaten Schlüssel des Serverzertifikates und Benutzername und Passwort aus dem Server auszulesen. Obwohl die öffentliche Empörung nicht so große Wellen schlug, wie der kürzliche Datendiebstahl von 16 Mio E-Mail Adressen und Passwörter, sollte sich der ein oder andere trotzdem damit auseinander setzen und das Passwort bei dem E-Mail Anbieter und den sozialen Netzwerken ändern.

Leider sind von dieser Sicherheitslücke auch viele Android Nutzer betroffen, da viele Apps und Anbieter auch auf das OpenSSL Protokoll setzen. Trend Micro hat für diesen Zweck einen Heartbleed Detector eingerichtet

weitere Werkzeuge zum Aufspüren der Sicherheitslücke hier:

payload in der heartbleed Sicherheitslücke

wir haben hier eine Liste erstellt, wo aktuell Handlungsbedarf besteht, da diese Anbieter auch das OpenSSL einsetzen und somit von der Heartbleed-Katastrophe betroffen sind:

Soziale Netzwerke
[su_table]

Facebook Passwort sollte geändert werden
Instagramm Passwort sollte geändert werden
LinkedIn Änderung nicht nötig
Printerest Passwort sollte geändert werden
Twitter Unklar ! Passwort sollte geändert werden

[/su_table]
andere Dienste
[su_table]

Apple Änderung nicht nötig
Amazon Änderung nicht nötig
Google Passwort sollte geändert werden
Microsoft Änderung nicht nötig
Yahoo Passwort sollte geändert werden
eBay Änderung nicht nötig
Paypal Änderung nicht nötig
YouTube Passwort sollte geändert werden
SoundCloud Passwort sollte geändert werden
Flikr Passwort sollte geändert werden

[/su_table]
E-Mail Dienste
[su_table]

AOL Änderung nicht nötig
Gmail (Goolge) Passwort sollte geändert werden
Hotmail Änderung nicht nötig
Outlook Änderung nicht nötig
Yahoo Mail Passwort sollte geändert werden

[/su_table]

weitere Werkzeuge zum Prüfen von Google Play App Store und beliebigen Websites befinden sich hier: