Heartbleed ermöglichte es Hackern, Steuernummern der kanadischen Finanzbehörde zu stehlen. Mindestens 900 Einzelpersonen und Unternehmen sind von dem 6-stündigen Angriff betroffen. Die Behörde war das erste Opfer, das diesen erfolgreichen Angriff melden musste. Und das, obwohl kanadische Sicherheitsbehörden im Vorfeld Warnungen aussandten.

Die Behörde musste ihren Online-Service kurzfristig aussetzen, was sie inmitten der laufenden Jahressteuerabschlüsse besonders hart trifft. Eine Schwachstelle in der OpenSSL-Bibliotheks-Software, die auf Zweidrittel der Internetseiten zum sicheren Datentransfer verwendet wird, war von den Hackern entsprechend ausgenutzt worden. Die Spur zu Hintermännern der Heartbleed-Angriffe ist nicht nachverfolgbar.

Sicherheitsexperten gehen davon aus, dass weitere Angriffe folgen werden. Sie schicken auch gleich eine Warnung hinterher, dass der einzelne Internetanwender selbst sehr wahrscheinlich nur wenig tun kann, um sich vor Heartbleed zu schützen. Es liegt in Händen der Betreiber der anfälligen Webseiten, ihre Software zu aktualisieren.

Generell haben Internetfirmen, IT-Provider, Unternehmen und Regierungsbehörden nach dem Bekanntwerden der Sicherheitsschwachstelle einige Mühe herauszufinden, ob ihre jeweiligen Systeme anfällig für Angriffe sind oder nicht. Andy Ellis, technischer Direktor bei Akamai Technologies Inc ist nicht überrascht, dass die kanadische Behörde angegriffen wurde, denn es seien bereits einige „Toolkits“ im Internet öffentlich erhältlich, die Hacker verwenden können.

Damit können die Hacker an private Schlüssel herankommen, die sie dann dazu verwenden, um sensible Daten zu entschlüsseln. Sie setzen kryptografisch beglaubigte betrügerische Seiten ein, die praktisch nicht von echten Seiten zu unterscheiden sind.

Die Heartbleed-Schwachstelle ist das Ergebnis eines Scheiterns der Durchführung einer routinemäßigen Grenzwertüberprüfung in OpenSSL-Code, der den Transport Layer (TLS) der Heartbeat-Erweiterung abwickelt. Heartbleed lässt es zu, dass ein verbundener Web-Client oder eine Anwendung Mitteilungen senden kann, um eine Verbindung während des Transfers von Daten aktiv zu halten.

Artikel von arstechnica.com, 14.04.2014, Heartbleed bug exploited to steal taxpayer data
Artikel von nbcnews.com, 14.03.2014: Hundreds of Canadian Tax ID Numbers Stolen in ‚Heartbleed‘ Breach