OpenSSL 加密技术漏洞 威胁全球三分之二网站

DSL

网络世界保安敲起严重警号，涉及全球多达三分之二网站。欧美保安专家发现，一项全球普及的互联网加密技术两年来一直存在重大漏洞，令黑客有机会破解普通民众的网上社交活动信息的加密保护，不留痕迹地窃取其密码、储存档案以至银行户口和信用卡资料等重要私隐，数以百万计密码和信用卡号码或因此泄露。

今次漏洞发现於加密软件「OpenSSL」，分别由芬兰科技保安企业Codenomicon的3名员工组成的研究队伍和Google保安的梅塔（Neel Mehta）在上周发现。芬兰团队是在改善公司旗下Defensics电脑防护软件的SafeGuard功能期间知悉，而梅塔则是首名向「OpenSSL」研究队伍通报漏洞的人。

上述研究人员在周一公布发现漏洞。《纽约时报》指漏洞涉及全球2/3网站，Google、facebook、雅虎和亚马逊网上服务等科技巨擘纷纷宣布正在或已经修复问题。科技网站Ars Technica表示，其保安研究员成功利用免费工具，从雅虎电邮窃取资料，雅虎承认网站容易中招，但强调及後已修补旗下各项程式。

研究人员将今次漏洞命名为「心脏出血」（Heartbleed），原因是它与「OpenSSL」系统一项名为「心跳」的功能有关。「OpenSSL」系统是处理互联网SSL加密格式的其一最常见程式库，其「心跳」功能容许黑客向社交和金融服务网站的伺服器送出恶意信息，从而骗取对方泄露机密信息。

Codenomicon行政总裁David Chartier形容这是严重漏洞：「不怀好意者可进入电脑储存，窃取加密钥匙、用户名称、密码和有价值的知识产权，而且不会留下任何痕迹。除非黑客向你勒索，或在网上发布你的资讯，或盗取并利用贸易秘密，你不会知道你有否中招。」

LastPass总裁Joe Sigrist则形容，漏洞可怕之处，在於不知道各公司有什麽信息被窃，亦不知道漏洞被发现前遭黑客利用了多久。《纽约时报》引述保安专家称，有证据显示部分黑客知道漏洞存在，并曾利用过它窃取资料。

网络保安专家指出，相关网站拥有者应尽快将现时采用的「OpenSSL」系统升级。不过建议用户等待，别急着随便修改密码，因为若在尚未修复的网站上修改密码，或令新密码为黑客知悉，因此建议用户先到https://www.ssllabs.com/ssltest/ 网站输入网址，以求证相关网站是否已经修复问题。

（纽约时报/华尔街日报/路透社）

啥时候能修复啊

啥时候能修复啊