Laut einer amerikanischen Bürgerrechtsorganisation soll der US-Geheimdienst NSA den Heartbleed-Bug offenbar über zwei Jahre hinweg regelmäßig benutzt haben. Eine Stellungsname von der NSA bleibt aus, aber die Bürgerrechtsorganisation hat bereits erste Hinweise.
Der Geheimdienst NSA soll den OpenSSL-Bug, welcher Heartbleed getauft worden ist, offenbar regelmäßig benutzt haben. Durch diesen Fehler konnte man private Keys aus den Servern auslesen (wir berichteten), somit hat also die Verschlüsselung nichts gebracht, so Bloomberg welche sich auf eine nicht namentlich genannte Quelle berufen.
Zusammenfassend: Die NSA hat diesen äußerst fatalen Fehler nicht öffentlich gemacht um ihre eigenen nationalen Interessen zu verfolgen. Zumindest kam dieser Fehler überhaupt ans Licht und zwar durch eine finnische Sicherheitsfirma namens Codenomicon sowie durch ein Sicherheitsteam von Google. Die Veröffentlichung hat zu zahlreichen aufrufen von Passwortänderungen geführt und zu haufenweise Updates auf Servern und Zertifikatserneuerungen. Ob der Bericht von Bloomberg allerdings stimmt, weiß man nicht eindeutig. Die NSA hat den Bericht nicht kommentiert.
Hinweise auf Ausnutzung durch Geheimdienste
Nach einem Bericht einer amerikanischen Bürgerrechtsorganisation namens EFF (Bericht) soll es Hinweise geben, dass der Bug in OpenSSL bereits vor vielen Monaten ausgenutzt worden ist. Ein Systemadministrator hat in seinen Serverlogs Hinweise darauf gefunden. Die Organisation EFF vermutet nun das dieser Angriff von einem Geheimdienst stammt.
