Wikimedia’s reactie op het Heartbleed-beveiligingslek

Logo van de Heartbleed bug

Op 7 april is er een groot beveiligingslek blootgelegd in een belangrijk component van de beveiliging van webpagina’s (OpenSSL). Op alle Wikimedia-wiki’s is dit lek inmiddels gedicht. In het geval u Wikipedia slechts, zonder gebruikersaccount, leest dan hoeft u geen actie te ondernemen. Als u op één of meerdere Wikimedia-wiki’s wél een account heeft dan zult u opnieuw in moeten loggen.

Het zogenaamde Heartbleed-lek gaf aanvallers de mogelijkheid vertrouwelijke informatie te benaderen op elke webpagina die een kwetsbare versie van OpenSSL gebruikte. Wiki’s van de Wikimedia Foundation waren tot enkele uren na het bekend worden van het lek kwetsbaar. We hebben echter geen aanwijzingen dat het lek daadwerkelijk misbruikt is om toegang tot onze systemen, of tot gegevens van gebruikers te krijgen. Het zou daarnaast, door onze specifieke serverconfiguratie, voor een aanvaller erg lastig zijn geweest om wachtwoorden van gebruikers te achterhalen.

Nadat we op de hoogte waren gesteld van het probleem zijn we meteen begonnen we met het upgraden van al onze systemen. Vervolgens hebben onze SSL-certificaten vervangen, en hebben we alle sessietokens gereset. Zie ook de volledige tijdlijn van alle de door Wikimedia ondernomen acties hieronder.

Alle ingelogde gebruikers sturen bij ieder verzoek aan de site een sessietoken mee. Als een aanvaller dat token van een gebruiker onderschept, dan kan deze daarmee voor die gebruiker uitgeven. Door het resetten van de sessietokens kan de aanvaller een token niet meer gebruiken. Bij het opnieuw inloggen wordt een versie van OpenSSL gebruikt waar het lek gerepareerd is, zodat deze aanval afgewend wordt.

Wij raden het aan om uw wachtwoord te veranderen als voorzorgsmaatregel, maar wij verplichten het niet dat alle gebruikers hun wachtwoorden veranderen. Er zijn geen sporen gevonden dat gebruikers het slachtoffer zijn geworden van deze bug, maar wij willen dat al onze gebruikers zo veilig als mogelijk zijn.

Dank u voor uw begrip en uw geduld.

Greg Grossmeier, namens de WMF Operations en Platform teams.

Tijdlijn van de door Wikimedia ondernomen acties

(Tijden zijn in UTC)

7 april:

8 april:

9 april:

10 april:

Veelgestelde vragen

(Deze sectie zal uitgebreid worden wanneer nodig is.)

  • Waarom is de “niet geldig vóór”-datum op jullie SSL certificaat niet veranderd als jullie het certificaat al vervangen hebben?
    Onze SSL certificaat-verstrekker houdt de oude “niet geldig vóór”-datum (soms foutief “verstrekt op”-datum genoemd) bij al de vervangen certificaten. Dit is niet ongewoon. Los van het kijken naar de verandering in de .pem bestanden waar naar wordt gelinkt boven de Tijdlijn, kan ook geverifieerd dat de verandering plaats heeft gevonden door de vingerafdruk van het nieuwe certificaat te vergelijken met onze vorige.

Archive notice: This is an archived post from blog.wikimedia.org, which operated under different editorial and content guidelines than Diff.