Svenska myndigheter går nu ut och varnar för internetbuggen Heartbleed. Foto: TT

Varning: Superbuggen kan läcka dina lösenord

Uppdaterad
Publicerad

Buggen ”Heartbleed” synliggör uppgifterna som du tror är krypterade. Nu går myndigheten MSB ut med en unik varning.

Den nyupptäckta buggen öppnar ett kryphål i mjukvaran Openssl som de flesta webbtjänster i världen använder – bland annat Google, Facebook och Yahoo. Det innebär att hackare kan komma åt personlig information som inloggningsuppgifter, e-post och banköverföringar.

– Själva säkerhetshålet är katastrofalt. På en säkerhetsskala mellan ett och tio är risken elva, säger Per Hellqvist, säkerhetsexpert på Symantec.

Han beskriver buggen som lömsk eftersom man aldrig kan veta om någon kontrollerar ens uppgifter just när man loggar in.

– Även om det är de stora sajterna som har mest jobb att ta itu med nu, ligger den största risken hos privatpersoner.

Yahoo-konton kapade

En stor webbplats som hann drabbas av buggen innan den blev känd är Yahoo. Flera fall av kapade mailkonton har konstaterats, och även svenska användare kan vara drabbade.

Myndigheten för samhällsskydd och beredskap, MSB, har gått ut med en varning för buggen där de uppmanar alla större webbplatser att uppdatera till en säker version av Openssl. Men trots det kan många sajter fortfarande vara osäkra.

– Alla kan inte göra en akutuppdatering eftersom man inte kan offra att webbservern ligger nere. Och det här drabbar inte bara servrar utan även hemmaroutrar och bredbandsmodem. Då är det upp till leverantören att uppdatera, och de har historiskt sett inte varit så snabba, säger Robert Jonsson, ställföreträdande chef på Cert-se som hanterar it-incidenter vid MSB.

– Det här påverkar all kommunikation och all typ av inloggning på internet som man vill göra säker. Det är väldigt omfattande och berör såväl Sverige som resten av världen.

Byt lösenord – om sidan är säker

Enligt Robert Jonsson har de största webbplatserna hunnit genomföra uppdateringen. Även svenska banktjänster ska numera vara säkra att använda. Men som privatperson är det svårt att påverka säkerheten.

– Har man använt ett konto på en viktig sajt den senaste veckan bör man byta lösenord. Men det gäller bara på stora sajter som har hunnit uppdatera. Om man misstänker att de inte är säkra är det bättre att vänta.

Per Hellqvist på Symantec håller med om att den som vill vara helt säker inte kan logga in på internettjänster överhuvudtaget.

– De här råden blir ju lite tandlösa när vi inte kan uppskatta skadan eftersom den inte syns. I den bästa av världar kommer alla tjänster att nollställa alla lösenord så att man som användare tvingas byta efter uppdateringen, säger han.

”Inte sett de fulla konsekvenserna än”

Just nu pågår ett intensivt arbete med uppdateringar. Men det är omöjligt att säga hur mycket information som kan ha läckt ut under de två år som buggen funnits. Enligt MSB kan framför allt mindre webbplatser sakna förståelse för konsekvenserna.

– Rent hypotetiskt kan någon utge sig för att ”vara” en sajt om man kommer åt dess krypteringsnycklar. Det rör sig om en väldigt allvarlig sårbarhet just eftersom man inte kan se om man blivit hackad, säger Robert Jonsson och fortsätter:

– Jag tror att vi får leva med det här väldigt länge. Det påverkar ju även miniroutrar som kanske aldrig någonsin kommer att bli säkra och jag tror inte att vi har sett de fulla konsekvenserna än.

Här testar du om en webbtjänst är drabbad

Du kan själv pröva om en sida är utsatt för Heartbleed, bland annat här och här.

Buggen öppnar ett kryphål i mjukvaran Openssl, som används till att möjliggöra säker kommunikation på en majoritet av världens webbtjänster.

Som privatperson bör man försäkra sig om att de webbplatser man loggar in på har den senaste säkerhetsuppdateringen. Framgår det inte på sajten bör man ställa en fråga.

MSB råder webbplatser att uppdatera mjukvaran samt byta krypteringsnycklar för att inte riskera att sajten tas över.

Relaterat

Så arbetar vi

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer om hur vi arbetar.