De voormalig CTO van Ripple, Stefan Thomas, waarschuwt deze week voor een ernstige beveiligingsfout in veelgebruikte software. De fout kan leiden tot diefstal van digitale tegoeden en gevoelige data. Hij roept ontwikkelaars en gebruikers wereldwijd op om meteen maatregelen te nemen. De waarschuwing raakt ook aan NIS2 en de Europese AI-verordening, met gevolgen voor overheid en bedrijven in Europa.
Ernstige fout in zicht
Thomas spreekt van een structurele fout in software die door veel partijen wordt gebruikt. Hij deelt nog geen technische details om misbruik te beperken. Dat is gebruikelijk bij ‘responsible disclosure’, waarbij eerst een oplossing wordt voorbereid.
De kern is dat aanvallers met relatief weinig moeite toegang kunnen krijgen tot gevoelige informatie. Denk aan privésleutels, inlogtokens of herstelzinnen. Zulke gegevens zijn de sleutel tot digitale portemonnees en accounts.
De toon van de waarschuwing is ongewoon scherp voor iemand met zijn achtergrond. Het signaal is bedoeld om snelle actie te stimuleren bij ontwikkelaars en aanbieders. Ook gebruikers krijgen het advies om hun basisbeveiliging op orde te brengen.
Thomas noemt het “een van de ergste beveiligingsfouten ooit”, en dringt aan op snelle mitigatie.
Risico voor wallets en apps
Crypto-wallets, beurzen en fintech-apps zijn mogelijke doelwitten, omdat ze vertrouwelijke sleutels en betalingen beheren. Of specifieke producten geraakt worden, is op het moment van schrijven niet bevestigd. Het risico zit vooral in gedeelde bouwblokken, zoals bibliotheken of standaardinstellingen.
Als een fout in zo’n bouwblok zit, kan de impact groot zijn. Eén update of plug-in kan dan veel diensten tegelijk raken. Dat vergroot de kans op geautomatiseerde aanvallen met gescripte tools en slimme algoritmen.
Voor Europese gebruikers en bedrijven is de mogelijke schade niet alleen financieel. Een incident met sleutels en logbestanden kan ook onder de AVG vallen. Dat betekent meldplicht en mogelijke boetes bij onvoldoende beveiliging of te late melding.
Wat gebruikers nu doen
Thomas adviseert om nu al voorzorg te nemen, ook zonder alle details. Zet waar mogelijk twee-factor-authenticatie aan, en vermijd sms-codes vanwege sim-swapping. Controleer of apps en systemen de laatste beveiligingsupdates hebben.
Bewaar herstelzinnen en privésleutels offline en versleuteld. Voor grotere bedragen is een hardware wallet, zoals Ledger of Trezor, een optie. Let erop dat de firmware up-to-date is en koop alleen via de officiële winkel.
Wie vermoedt risico, kan sleutels roteren en tegoeden tijdelijk spreiden. Gebruik, als uw wallet dit ondersteunt, een extra BIP39-wachtwoordzin. Houd communicatiekanalen van uw aanbieder in de gaten voor patches en concrete instructies.
Druk vanuit EU-regels
Europese regels verhogen de druk om snel te patchen. NIS2 verplicht essentiële en belangrijke entiteiten tot risicobeheer en snelle incidentmelding. De Cyber Resilience Act legt productveiligheid en updateplichten bij softwareleveranciers.
Voor cryptodiensten onder MiCA gelden eisen rond beveiliging, governance en klantbescherming. Een ontwerp- of implementatiefout in een breed gebruikte bibliotheek kan zo ook een toezichtszaak worden. In Nederland kijken DNB en AFM mee, en bij datalekken ook de Autoriteit Persoonsgegevens.
Daarnaast raakt de Europese AI-verordening organisaties die algoritmen in hoog-risico-toepassingen inzetten. Zij moeten aantoonbaar veilig ontwerpen, testen en loggen. Een kwetsbaarheid in ondersteunende software kan dan extra documentatie- en herstelwerk vragen.
Nog veel onbekend
Op het moment van schrijven is niet duidelijk welke leveranciers of versies precies kwetsbaar zijn. Er is ook geen publiek bewijs van misbruik gedeeld. Dat kan veranderen zodra patches klaarstaan en details volgen.
Gebruikers en beheerders doen er goed aan updatekanalen strak te monitoren. Test patches eerst in een gecontroleerde omgeving, zeker in financiële systemen. Documenteer stappen voor eventuele audits onder NIS2, MiCA of de AVG.
Voor ontwikkelteams is een snelle risico-analyse nodig. Inventariseer afhankelijkheden en codepaden waar gevoelige data langskomen. Schakel waar nodig een externe securityreview in om blinde vlekken te vinden.
