Ifølge nettstedet Dagens IT(Dagens Næringsliv) var det tirsdag feilen begynte for alvor å bli spredd informasjon om på nett, men svakheten «Heartbleed» kan ha lekket ut passord, brukernavn og det meste annet fra besøkende i opptil to år.

Åpent

De norske tjenestene som er omtalt var sårbare for «Heartbleed», en svakhet i måten et enormt antall nettjenester sikrer seg på nett.

— Sårbarheten er ekstremt enkel å utnytte, sier Vidar Sandland, seniorrådgiver i Norsis, til Dagens IT.

Feilen rammet i går rundt 10.000 norske servere, viser statistikk laget av sikkerhetsekspert Einar Otto Stangvik.

Ukjent omfang

Yahoo rettet feilen i løpet av tirsdag, og halv tolv onsdag hadde halvparten av de norske tjenestene tettet hullet, forteller Stangvik til Dagens Næringsliv (DN).

Men ingen vet hva hackere kan ha hentet ut allerede.

— Det kan vi ikke vite, bekrefter Kristian Vange, it-sjef i Chess.

Via Chess.no kan man logge seg inn og få oversikt over hvem kunden har ringt.

Bytt passord

— Kundene bør bytte passord, ifølge Nasjonal Sikkerhetsmyndighet (NSM).

— Vi anbefaler at tjenesteleverandører som har sårbarheten, og som har kunder med innloggingstjenester på den ene eller andre måten, oppdaterer, varsler brukerne, og anbefaler bytte av passord, sier Kjetil Berg Veire, informasjonssjef i NSM.

Dette rådet gjelder trolig store deler av Norges befolkning, for det er mange store selskaper på listen over de sårbare.

— Vi fikk oppgradert programvaren umiddelbart etter at den ble tilgjengelig fra leverandøren, slik at sikkerhetshullet nå er tettet, sier Astrid Mannion, kommunikasjonsrådgiver i Norwegian.

Norwegian har ikke besluttet om de vil kreve at kundene endrer passord.

Tester viser at også Ventelo har reparert en sårbarhet, men leder og tekniske direktør har i dag ikke besvart DNs henvendelser.

Fakta om Heartbleed

Heartbleed er en feil i OpenSSL, en sikkerhetskomponent som brukes av svært mange tjenester på nettet, for å sikre at ikke informasjon kommer på avveie, og som vern mot hacking og svindel.

Feilen ble oppdaget av sikkerhetsfolk denne uken, men kan ha blitt utnyttet av hackere siden 2012. Angrep er sporløse, og derfor anbefaler Nasjonal Sikkerhetsmyndighet at tjenester som har svakheten regner seg som hacket.

Angrep regnes som svært enkelt, og krever ingen forhåndsinformasjon om tjenesten man angriper.

OpenSSL er nå oppdatert, men det tar tid før all programvare og tjenester har fått tatt i bruk beskyttelsen.

Tjenestene som er rammet har i utgangspunktet ikke gjort noen feil, men treg eller utilstrekkelig respons kan gjøre problemet verre.