NSA har känt till och utnyttjat Heartbleed i två år

Internet är en infrastruktur vi måste kunna lita på, skrev jag i början av mars. I inlägget tog jag bland annat upp Jacob Appelbaums presentation från konferensen CCC i slutet av förra året.

Appelbaum pratade bland annat om det problematiska med att myndigheter som NSA håller kunskap om säkerhetshål för sig själva, i syfte att själva kunna utnyttja dem. Samtidigt utsätter de nätets alla andra användare för en risk. Att tro att NSA hittar saker som andra inte lyckas upptäcka är naivt.

Vilket precis har bevisats:

I veckan har Heartbleed, säkerhetshålet i krypteringsmjukvaran OpenSSL, fått stora rubriker. Tack vare luckan har det bland annat varit möjligt att komma över inloggningsuppgifter. (Computer Swedens blogg Nätpolitik har en bra teknisk genomgång av Heartbleed om du vill veta mer.)

I förrgår gav jag er läsare rådet “vänta, byt sen lösenord”.

I går kväll följde jag min egen uppmaning och bytte på de 38 viktigaste webbtjänsterna jag använder.

Och nu i kväll läser jag hos Bloomberg att NSA känt till, och utnyttjat, Heartbleed-luckan i två år:

Putting the Heartbleed bug in its arsenal, the NSA was able to obtain passwords and other basic data that are the building blocks of the sophisticated hacking operations at the core of its mission, but at a cost. Millions of ordinary users were left vulnerable to attack from other nations’ intelligence arms and criminal hackers.

Bloomberg hänvisar till två anonyma källor. Det ska bli intressant att följa utvecklingen och se om påståendena kommer gå att belägga.

Uppdaterat: Amerikanska myndigheter har nu förnekat att man kände till Heartbleed innan forskarna släppte nyheten om buggen tidigare i veckan.