#HeartBleed: Muss ich mein Passwort ändern?

heartbleedWie im vorangegangenen Artikel erklärt, sind 66% aller Webseiten vom sogenannten #HeartBleed-Bug betroffen. Es gibt bereits einige Check-Webseiten, die andere Seiten auf Angriffe per #HeartBleed Bug testen:

Es ist derzeit nicht abschätzbar, ob Daten ausgelesen wurden. Da ein Angriff überhaupt keine Spuren hinterlässt, wird sich hierzu auch nie eine präzise Aussage machen lassen. Auf Grund der enormen Anzahl betroffener Dienste und Server muss aber davon ausgegangen werden. Wir empfehlen den Benutzern deswegen dringend, alle Passwörter zu ändern. Aber erst, sobald die Probleme auf den Servern behoben wurden!

Wir führen daher hier eine Liste (wird fortlaufend ergänzt) der bekannteren Webseiten. Die Frage dreht sich um „muss ich mein Passwort ändern?“.

  • Falls „Nein“, war diese Seite nicht betroffen.
  • Falls ‚NOCH NICHT‘, ist die Seite betroffen, aber entweder wurde OpenSSL noch nicht aktualisiert oder die Zertifikate wurden noch nicht erneuert. Da der PK vom SSL während 2 Jahren abgefangen werden konnte, muss mit dem Passwort ändern NOCH gewartet werden.
  • Falls „JA“, war die Seite betroffen, wurde aber korrekt aktualisiert und man muss nun sein Passwort ändern:


,Nutzt OpenSSL?,OpenSSL aktuell?,Zertifikat erneuert?,Muss ich mein Passwort ändern?
google.ch, Nicht mehr, -, Nein**, yesJA
Microsoft, Nein, -, -, Nein
apple.ch, Ja, Nein*, Nein, Nein
gmail.com, Nicht mehr, – , Nein**, yesJA
hotmail.com, Nein, -, -, Nein
gmx.ch***, Ja, Ja, Ja, yesJA
bluewin.ch, Ja, Ja, Ja, yesJA
youtube.com, Nicht mehr, -, Nein**, yesJA
facebook.com, Nicht mehr, -, Nein (28.10.2013), noNOCH NICHT
twitter.com, Ja, Ja, Ja, yesJA
dropbox.com, Ja, Ja, Ja, yesJA
raiffeisen.ch, Ja, Ja, Ja, yesJA
ubs.ch, Nein, -, -, Nein
credit-suisse.com, Ja, Ja, Ja, yesJA
postfinance, Nein, -, -, Nein
Walliser Kantonalbank, Ja, Ja, Ja, yesJA
viseca.ch, Ja, Ja, Ja, yesJA
SBB.ch, Ja, Ja, Ja, yesJA
Whatsapp, Nein, -, -, Nein
MySMS, Nicht mehr, -, Ja, yesJA
Steam, Ja, Ja, Ja, yesJA
Ricardo.ch, Nein, -, -, Nein
Ebay.ch, Nein, -, -, Nein
Valaiscom, Nein, -, -, Nein
CrashPlan.com, Ja, Ja, Ja, yesJA
Swisscom.ch, Nein, -, -, Nein
github.com, Ja, Ja, Ja, yesJA
Wikipedia, Ja, Ja, Ja, yesJA
Instagram, Ja, Ja, Ja, yesJA
LinkedIn, Nein, -, -, Nein
Pinterest, Ja, Ja, Ja, yesJA
PayPal, Nein, -, -, Nein
Flickr****, Ja, Ja, Ja, yesJA
Minecraft, Ja, Ja, Ja, yesJA
Zalando.ch, Nein, -, -, Nein
[/table]
*   Apple nutzt eine uralte Version von OpenSSL, welche den #HeartBleed Bug nicht implementiert hat und ist daher „sicher“
** Google ist einer der Bug-Entdecker und hat daher das Problem bereits früher behoben. Password muss trotzdem gewechselt werden.
*** GMX pop:995/imap:993 über SSL war nicht betroffen. Hier getestet wird der Weblogin.
**** Flicker hat die Lücke zwar geschlossen, kämpft aktuell aber mit einer SQL-Injection

Angaben ohne Gewähr! Bitte kontaktiert uns, falls ihr noch weitere Seiten zum Checken wünscht!

Zur Erinnerung: Für jeden Dienst/Webseite immer ein anderes Passwort verwenden! Eine sehr schöne Anleitung («drei einfache Regeln») für gute Passwörter gibt es auf EthACK.org (französisch)


Weitere Informationen

Kommende Termine: