Den amerikanske efterretningstjeneste NSA har i mere end to år været vidende om det store sikkerhedshul på it-fronten, som kaldes Heartbleed. NSA har angiveligt også jævnligt brugt programfejlen til at indhente oplysninger ifølge kilder.
Heartbleed optræder i programmet OpenSSL, der er et bibliotek, som bruges af mange computerprogrammer. Det tilbyder kryptering og hemmeligholdelse af data, men en fejl kan gøre alle disse følsomme oplysninger offentlige.
- Ved at benytte Heartbleed i sit arsenal har NSA fået adgang til adgangskoder og andre grundlæggende data, der er byggeklodser i den sofistikerede hackervirksomhed, som er kernen i tjenestens opgave, skriver nyhedsbureauet Bloomberg.
Både NSA og Det Hvide Hus afviser oplysningerne, der ifølge Bloomberg stammer fra to personer med indblik i sagen.
Oplysningerne om, at NSA eller en anden afdeling af USA's regering har haft kendskab til Heartbleed inden april 2014, er forkerte, siger Caitlin Hayden, der er talsperson for Det Hvide Hus' nationale sikkerhedsråd, ifølge nyhedsbureauet AFP.
Sikkerhedshullet, der angiveligt berører omkring to tredjedele af alle websites, heriblandt giganter som Facebook og Google, skyldes en bug i krypteringssystemet Open SSL.
En bug er amerikansk slang for en fejl i et computerprogram, så det opfører sig på en anden måde end tilsigtet.
- Det var ikke meningen, siger den tyske softwareudvikler Robin Seggelmann, der til avisen The Sydney Morning Herald fortæller, hvordan han kom til at skrive den forkerte kode ind i krypteringsværktøjet, der ændrer tekst til ulæselige koder.
- Det var en enkelt programmeringsfejl i en ny funktion, der desværre skete i et for sikkerheden meget følsomt område, siger Seggelmann.
Systemet bygger på en åben kildekode, der ellers betragtes som sikrere, fordi alle har mulighed for at undersøge koden.
Korrekt håndteret er kryptering en af de få ting, der fungerer, sagde eksempelvis Edward Snowden, da han i juni afslørede dokumenter om USA's overvågning.
Al den stund, at buggen allerede har eksisteret i over to år, og en eventuel indtrængen ikke efterlader nogen spor, så er der ikke mange chancer for, at brugere finder ud af, at de har fået stjålet deres adgangskoder.
USA's sikkerhedsafdeling, Homeland Security, opfordrede fredag offentligheden til at skifte adgangskoder på alle websteder.
/ritzau/TT
