Google ontdekte Heartbleed in maart, lichtte anderen niet in

Abonneer je gratis op Techzine!

Google heeft op eigen houtje het bestaan van Heartbleed ontdekt in maart. De zoekgigant had dus een voorsprong bij het ontwikkelen van een patch. Andere partijen werden door het bedrijf echter niet ingelicht.

Door een bug in Open SSL is ongeveer de helft van al het versleutelde verkeer uit te lezen. Deze bug ontdekte Google-programmeur Neel Mehta in maart en daaropvolgend ging de zoekgigant alvast aan de slag met de ontwikkeling van een oplossing.

Andere partijen werden door Google niet ingelicht, al is dat niet heel verrassend omdat de zoekgigant ongetwijfeld eerst een patch klaar wilde hebben voordat de beerput open zou worden getrokken. Toch wordt het de zoekgigant kwalijk genomen omdat bijvoorbeeld ook verkeer van het Witte Huis daardoor langer uit te lezen zal zijn.

Desondanks wist de NSA naar verluidt zelfs al veel langer van het bestaan van Heartbleed, de inlichtingendienst valt dus aanzienlijk meer kwalijk te nemen aangezien ze het probleem eveneens niet publiekelijk bekend hebben gemaakt. Het Witte Huis ontkent overigens dat de NSA al bekend was met de bug.

Uiteindelijk is het bestaan van Heartbleed op 7 april geopenbaard door het Finse beveiligingsbedrijf Codenomicon. Op voorhand werden enkele grote bedrijven alvast geïnformeerd over de bug.