Nets har været i fuld gang med at undersøge, hvorvidt virksomhedens systemer, der blandt andet involverer dankort-infrastrukturen – også den til online-betalinger – og ikke mindst NemID, har været berørt af den såkaldte Heartbleed-sårbarhed. Og det lader, heldigvis, ikke til at være tilfældet.
»Vi (Nets) har nu foretaget en sikkerhedsmæssig vurdering af vores systemer både hos os selv og hos vores underleverandører. Vores klare vurdering er, at vi ikke er eksponeret, og vi har heller ikke været det, over for den kendte OpenSSL-sårbarhed,« oplyser pressechef i Nets Søren Winge i en e-mail til Version2.
Han meddeler desuden, at virksomheden ikke påtænker at gå i nærmere detaljer omkring, hvorfor Hearbleed er gået uden om Nets systemer. Hvilket Version2 naturligvis har forsøgt at spørge ind til.
Heartbleed-sårbarheden relaterer sig til det udbredte OpenSSL-bibliotek, der skal skabe en sikker forbindelse til en server. Heartbleed blev offentligt kendt i april i år, men har eksisteret i OpenSSL til produktionsmiljøer siden 2012.
Sårbarheden gør det kort fortalt muligt for vilkårlige besøgende at sende en særlig datapakke til en server, hvorefter serveren returnerer dele af indholdet i sin hukommelse. Det kan i princippet være serverens private nøgler, andre besøgendes brugernavn og kodeord samt indholdet af eksempelvis e-mails, chat-beskeder etc.
Altså et eklatant it-sikkerhedshul, som har fået den anerkendte og nøgterne it-sikkerhedsmand Bruce Schneier til at kalde Heartbleed for katastrofal samt give sårbarheden 11 på en skala fra 1 til 10 målt på, hvad der må formodes at være alvorlighed.
Leave a Reply