Wie im vorangegangenen Artikel erklärt, sind 66% aller Webseiten vom sogenannten #HeartBleed-Bug betroffen. Es gibt bereits einige Check-Webseiten, die andere Seiten auf Angriffe per #HeartBleed Bug testen:
Es ist derzeit nicht abschätzbar, ob Daten ausgelesen wurden. Da ein Angriff überhaupt keine Spuren hinterlässt, wird sich hierzu auch nie eine präzise Aussage machen lassen. Auf Grund der enormen Anzahl betroffener Dienste und Server muss aber davon ausgegangen werden. Wir empfehlen den Benutzern deswegen dringend, alle Passwörter zu ändern. Aber erst, sobald die Probleme auf den Servern behoben wurden!
Wir führen daher hier eine Liste (wird fortlaufend ergänzt) der bekannteren Webseiten. Die Frage dreht sich um „muss ich mein Passwort ändern?“.
- Falls „Nein“, war diese Seite nicht betroffen.
- Falls ‚NOCH NICHT‘, ist die Seite betroffen, aber entweder wurde OpenSSL noch nicht aktualisiert oder die Zertifikate wurden noch nicht erneuert. Da der PK vom SSL während 2 Jahren abgefangen werden konnte, muss mit dem Passwort ändern NOCH gewartet werden.
- Falls „JA“, war die Seite betroffen, wurde aber korrekt aktualisiert und man muss nun sein Passwort ändern:
,Nutzt OpenSSL?,OpenSSL aktuell?,Zertifikat erneuert?,Muss ich mein Passwort ändern?
google.ch, Nicht mehr, -, Nein**, JA
Microsoft, Nein, -, -, Nein
apple.ch, Ja, Nein*, Nein, Nein
gmail.com, Nicht mehr, – , Nein**, JA
hotmail.com, Nein, -, -, Nein
gmx.ch***, Ja, Ja, Ja, JA
bluewin.ch, Ja, Ja, Ja, JA
youtube.com, Nicht mehr, -, Nein**, JA
facebook.com, Nicht mehr, -, Nein (28.10.2013), NOCH NICHT
twitter.com, Ja, Ja, Ja, JA
dropbox.com, Ja, Ja, Ja, JA
raiffeisen.ch, Ja, Ja, Ja, JA
ubs.ch, Nein, -, -, Nein
credit-suisse.com, Ja, Ja, Ja, JA
postfinance, Nein, -, -, Nein
Walliser Kantonalbank, Ja, Ja, Ja, JA
viseca.ch, Ja, Ja, Ja, JA
SBB.ch, Ja, Ja, Ja, JA
Whatsapp, Nein, -, -, Nein
MySMS, Nicht mehr, -, Ja, JA
Steam, Ja, Ja, Ja, JA
Ricardo.ch, Nein, -, -, Nein
Ebay.ch, Nein, -, -, Nein
Valaiscom, Nein, -, -, Nein
CrashPlan.com, Ja, Ja, Ja, JA
Swisscom.ch, Nein, -, -, Nein
github.com, Ja, Ja, Ja, JA
Wikipedia, Ja, Ja, Ja, JA
Instagram, Ja, Ja, Ja, JA
LinkedIn, Nein, -, -, Nein
Pinterest, Ja, Ja, Ja, JA
PayPal, Nein, -, -, Nein
Flickr****, Ja, Ja, Ja, JA
Minecraft, Ja, Ja, Ja, JA
Zalando.ch, Nein, -, -, Nein
[/table]
* Apple nutzt eine uralte Version von OpenSSL, welche den #HeartBleed Bug nicht implementiert hat und ist daher „sicher“
** Google ist einer der Bug-Entdecker und hat daher das Problem bereits früher behoben. Password muss trotzdem gewechselt werden.
*** GMX pop:995/imap:993 über SSL war nicht betroffen. Hier getestet wird der Weblogin.
**** Flicker hat die Lücke zwar geschlossen, kämpft aktuell aber mit einer SQL-Injection
Angaben ohne Gewähr! Bitte kontaktiert uns, falls ihr noch weitere Seiten zum Checken wünscht!
Zur Erinnerung: Für jeden Dienst/Webseite immer ein anderes Passwort verwenden! Eine sehr schöne Anleitung («drei einfache Regeln») für gute Passwörter gibt es auf EthACK.org (französisch)