De NSA moet beveiligingsproblemen die de dienst ontdekt in de meeste gevallen onthullen en niet misbruiken. Dat heeft de Amerikaanse president Obama besloten. Er is echter een uitzondering voor 'binnenlandse veiligheid en rechtshandhaving'. Obama zou de beslissing, waarvan de impact dus nog moet blijken, al in januari hebben genomen. Een comité dat de bevoegdheden van de NSA onder de loep nam, beval destijds aan om de NSA niet langer beveiligingsproblemen in encryptiesystemen te laten inbouwen. Daarnaast zouden zero-day-beveiligingsproblemen, waarvoor nog geen patch voorhanden is, moeten worden gepatcht in plaats van misbruikt.

Amerikaanse overheidsfunctionarissen zijn kritisch op de beslissing van Obama. Ze tekenen aan dat buitenlandse overheden als die van Rusland en China het voorbeeld van de Verenigde Staten niet zullen volgen en dat het misbruiken van ongepatchte beveiligingsproblemen ertoe kan leiden dat een oorlog wordt voorkomen. Eerder misbruikte de NSA zero-day-lekken om een Iraanse nucleaire installatie te verstoren met het Stuxnet-virus.

Vrijdag meldde een Amerikaans persbureau dat de NSA al twee jaar misbruik zou hebben gemaakt van Heartbleed, een bug in OpenSSL die tot gevolg heeft dat clients delen van het interne geheugen van een kwetsbare server kunnen uitlezen. De NSA zou de bug stil hebben gehouden zodat de bug niet werd gepatcht en blijvend kon worden misbruikt. De NSA zelf ontkent dat. 

Alles bij de bron; Tweakers