Ich befürchte das ich sogar von Heartbleed betroffen bin. Hab sonst nie groß Spam bekommen und wenn, dann landete der bei GMail eh im Spam Ordner. Aber seit kurzem sind schon 2 Mails reingeflattert, die mich doch sehr stutzig machen. Die erste war ein spanischer Newsletter von Taringa, die als Anrede nicht meinen Nutzernamen enthielt, sondern eines meiner genutzten Passwörter. Die 2. Mail war eine Bestätigung einer belgischen Jobbörse die mir mitteilten, das meine Bewerbung demnächst freigeschaltet werde.
Beide Seiten habe ich jedoch nie zuvor besucht.
Wie auch immer, meine Logindaten scheinen zumindest an diese Dienste gereicht worden zu sein.
Missfällt mir sehr und ich weiß nicht was ich dagegen machen kann.
@Grymbler - standardpasswörter ändern und natürlich sehen, das du die accounts irgendwie wegbekommst.
schon doof die ganze sache :| weil was nutzt einen ein super passwort, wenn das system eine lücke hat.
also bei mir ist bisher nichts passiert, werd mal alles beobachten hier. (hab ja genug mail accounts )
@Grymbler: Heartbleed kann dazu genutzt werden HTTPS Datenverkehr zu entschlüsseln und somit bekanntermaßen auch die Passwörter die du zum Login nutzt. Es scheint aber hier öfters das Misverständnis zu geben, dass viele meinen das bestehende Passwörter von einem Server gestohlen werden können. Das ist nämlich hingegen nicht (praktikabel) möglich (da das stehlen einer Datenbank wenn auch verschlüsselt z.b. Millionen von Logindaten enthalten kann, aber das ausnutzen von Heartbleed zeitaufwändig und somit mehr für gezielte Attacken geeignet ist).
Solltest du nicht gerade Mr. Important sein um Opfer eines Man-in-the-Middle-Attack zu werden, so ist es wohl eher wahrscheinlich, dass du Opfer des BSI Leaks o.ä. wurdest. 1 mal bearbeitet, zuletzt 27. Apr. 2014, 16:28 Uhr
saftsau schrieb: Interessant wäre mal gewesen zu erfahren ob xREL betroffen war (unabhängig von Cloudflare) oder ob hier eine ältere OpenSSL Version eingesetzt wurde.
Wie du schon schreibst, gehen alle unsere Verbindungen über Cloudflare ... die OpenSSL-Version auf dem Web-Server hinter Cloudflare war zwar 1.0.1f, aber das war damit ja irrelevant. xREL war also genauso lange betroffen wie alle anderen Webseiten, die SSL über Cloudflare nutzen.
Ein kleiner Fehler ist im Text, "Ein Bug in OpenSSL ist publik geworden, der es einem Angreifer ermöglicht, Daten aus dem Arbeitsspeicher des Server auszulesen."
Daten aus dem Speicherbereich von OpenSSL können ausgelesen werden, nicht aus dem gesamten Speicherbereich, deswegen ist es wahrscheinlicher und einfacher an sensible Daten zu kommen.
Hier noch ein XKCD Comic zur Erklärung: http://xkcd.com/1354/
Danke für die Info. Ich wäre doch sehr verwundert, sollte ich Mr. Important sein.
An BSI hab ich schon gar nicht mehr gedacht...war ja noch was. Wie auch immer: Ärgerlich das man machtlos gegen so was ist. Die meisten Passwörter sind bei mir zwar längst getauscht und nun auch alle individuell, doch gegen solche Art von Missbrauch hilft auch kein neues Passwort mehr.
Sehr schöner Artikel! Schön geschrieben und mit genau den nötigen Informationen. Weiter so!
Zum Thema: Ich persönlich glaube da nicht an ein Zufall oder so, sondern wirklich mit Absicht. Von welcher Seite sei mal dahin gestellt. Aber jeder Entwickler sollte doch mit den Ohren sehr hellhörig werden, wenn zufällige Speicherbereiche des Arbeitsspeichers als Heartbeat-Antwort genutzt werden oder sonst wie verschickt werden. Selbst mit einer festdefinierten Zeit, wann solch ein Heartbeat geschickt werden kann vom Server, wäre es nur eine Frage der Zeit.
Da muss auch nicht lange drüber nachgedacht werden, da sowas in egal welchem Fall eine potenzielle Gefahrenquelle ist.
Schön und auch bedauerlich ist auch zu sehen/lesen, dass OpenSource nicht immer gut ist. Jeder mit Kenntnissen hätte diese Lücke entdecken und nutzen können. Es ist unklar, wie viele diese Lücke gefunden und genutzt haben, was mit ClosedSource jedenfalls nicht ganz so einfach gewesen wäre. Das schöne daran ist, dass große Firmen nun die OpenSource Gemeinde mit CII unterstützen 1 mal bearbeitet, zuletzt 30. Apr. 2014, 01:10 Uhr
Viel zu spaet hab ich jetzt auch alle meine passwoerter geandert.
Ich muss allerdings auch sagen, dass ich von so gut wie keiner seite explizit durch ne mail darauf hingewiesen wurde. klar wars ueberall in den medien aber fuer die weniger internet affinen personen waere es vtll ganz gut gewesen.
Sprache wählen 
Heartbleed 
User 
) 
Pixelfucker 
#