Eine Sicherheitslücke namens "Heartbleed" wurde bei der OpenSSL-Software entdeckt. Diese Technologie wird von vielen Webseiten, E-Mail-Anbietern und Applikationen benutzt. Sie ermöglicht u.a. die Authentifizierung des Benutzers auf einer Webseite durch den Internet-Browser sowie die Verschlüsslung von Passwörtern, Kreditkarteninformationen und im allgemeinen aller Daten, die mit dieser Webseite ausgetauscht werden. Die Schwachstelle erlaubt es Angreifern Kommunikations- und Authentifizierungsdaten zu stehlen.
Die Nationale Kommission empfiehlt den betroffenen Unternehmen das Patch von Open SSL zu installieren. Dieses Patch ermöglicht jedoch keinen Schutz vor potenitiellen Verletzungen der Vertraulichkeit, die vor der Aktualisierung stattgefunden hätten. Zu diesem Zweck sind weitere Maßnahmen erforderlich:
- Erzeugung von neuen öffentlichen/privaten Schlüsselpaaren
- Aktualisierung der SSL-Zertifikaten
- Änderung der Passwörter/Authentifizierungsinformationen
Neben den gerade erwähnten Maßnahmen empfiehlt die CNPD den betroffenen Unternehmen die Benutzer ihrer Systeme (Mitarbeiter und Kunden) aufzufordern ihre Passwörter zu ändern, und wenn nötig auch ihre Authentifizierungsinformationen zu erneuern.
Den privaten Nutzern empfiehlt die CNPD in den nächsten Tagen vorsichtig zu sein mit den E-Mails die sie bekommen. Die aktuelle Situation ist günstig für Phishing-Versuche, bei denen Internet-Nutzer dazu aufgefordert werden ihr Passwort zu ändern oder sich auf gefälschten Webseiten anzumelden (Ein Nutzer glaubt zum Beispiel er befindet sich auf der Internetseite seiner Bank wenn es sich in Wirklichkeit um eine von einem Hacker betriebene Webseite handelt).Wenn es Zweifel gibt rät die CNPD den Benutzern sich per Telefon an die Firma zu wenden, die sie kontaktiert haben um nachzufragen ob es sich um eine echte Kommunikation handelt.