OpenSSL大漏洞 Google雅虎fb有份
很多網站會採用加密技術,保障資料能安全和保密傳送,其中最常見是OpenSSL,估計全球近六成網站使用,包括Google、雅虎、亞馬遜和facebook(fb)等。網絡安全研究團隊近日發現,OpenSSL有一個潛伏長達兩年的重大安全漏洞,可能讓黑客取得用戶密碼和信用卡等敏感資料,甚至冒充用戶或網站進行詐騙,暫未知有否因此造成實質損失。
為防敏感資料在網絡傳送時外洩,網站會進行SSL/TLS加密。用戶在瀏覽網站時,有時會發現瀏覽器中的網址旁出現掛鎖圖標,便代表網站採用了加密協議。其中OpenSSL屬免費開源軟件,故被廣泛採用。據一名前美國國防部顧問透露,美國國防部和國土安全部都使用OpenSSL。
任何人可讀密鑰帳號密碼
這個安全漏洞由Google及網絡保安企業Codenomicon發現,研究員把它命名為「Heartbleed」(心臟出血)。漏洞容許網絡上任何人讀取由OpenSSL保護的系統記憶體,並有機會從中取得供應商的加密協議密鑰,或是用戶帳號密碼等資料。利用這些資料,黑客可進一步讀取伺服器紀錄和監控未來通訊,或偽冒個別網站及使用者身分。
研究員指,曾透過Heartbleed成功從外部入侵自己設立的網站,並在不留痕跡下取得密鑰、用戶帳號、即時通訊、電郵及公司文件等重要資料。由於漏洞已存在兩年,研究團隊難以估計是否已有人藉此進行黑客攻擊。監察網站代碼的Netcraft則表示,估計全球逾50萬個「可信任網站」或受影響。
OpenSSL前日已推出更新修補漏洞,呼籲所有相關網站盡快更新。Google、雅虎和亞馬遜等稱已在消息傳出前修補漏洞。網絡安全公司Cloudflare總裁普林斯表示,事件十分嚴重,最壞情況是黑客已取得核心加密密鑰,意味企業可能要全面更換密碼。
專家:修補漏洞前改密碼無用
電腦專家指,由於牽涉範圍廣泛,呼籲用戶盡快更改帳戶密碼。但有意見認為,除非網站完成更新修補漏洞,否則只是改密碼並沒意義。提供網絡匿名服務的Tor Project總裁丁格爾丁表示:「對於那些重視匿名或私隱的用戶,未來幾天或最好完全不上網,直至事情解決為止。」 ■美聯社/法新社/路透社/英國《金融時報》/《華爾街日報》
|