【綜合報道】網絡世界保安敲起嚴重警號,涉及全球多達三分之二網站。歐美保安專家發現,一項全球普及的互聯網加密技術兩年來一直存在重大漏洞,令黑客有機會破解普通民眾的網上社交活動信息的加密保護,不留痕[地竊取其密碼、儲存檔案以至銀行戶口和信用卡資料等重要私隱,數以百萬計密碼和信用卡號碼或因此泄露。
今次漏洞發現於加密軟件「OpenSSL」,分別由芬蘭科技保安企業Codenomicon的3名員工組成的研究隊伍和Google保安的梅塔(Neel Mehta)在上周發現。芬蘭團隊是在改善公司旗下Defensics電腦防護軟件的SafeGuard功能期間知悉,而梅塔則是首名向「OpenSSL」研究隊伍通報漏洞的人。
Google雅虎fb中招 即時修復
上述研究人員在周一公布發現漏洞。《紐約時報》指漏洞涉及全球2/3網站,Google、facebook、雅虎和亞馬遜網上服務等科技巨擘紛紛宣布正在或已經修復問題。科技網站Ars Technica表示,其保安研究員成功利用免費工具,從雅虎電郵竊取資料,雅虎承認網站容易中招,但強調及後已修補旗下各項程式。
研究人員將今次漏洞命名為「心臟出血」,原因是它與「OpenSSL」系統一項名為「心跳」的功能有關。「OpenSSL」系統是處理互聯網SSL加密格式的其一最常見程式庫,其「心跳」功能容許黑客向社交和金融服務網站的伺服器送出惡意信息,從而騙取對方泄露機密信息(見另稿)。
Codenomicon行政總裁David Chartier形容這是嚴重漏洞:「不懷好意者可進入電腦儲存,竊取加密鑰匙、用戶名稱、密碼和有價值的知識產權,而且不會留下任何痕[。除非黑客向你勒索,或在網上發布你的資訊,或盜取並利用貿易秘密,你不會知道你有否中招。」
LastPass總裁Joe Siegrist則形容,漏洞可怕之處,在於不知道各公司有什麼信息被竊,亦不知道漏洞被發現前遭黑客利用了多久。《紐約時報》引述保安專家稱,有證據顯示部分黑客知道漏洞存在,並曾利用過它竊取資料。
應盡快更新 修改密碼要謹慎
網絡保安專家指出,相關網站擁有者應盡快將現時採用的「OpenSSL」系統升級。不過建議用戶等待,別急蚗H便修改密碼,因為若在尚未修復的網站上修改密碼,或令新密碼為黑客知悉,因此建議用戶先到https://www.ssllabs.com/ssltest/ 網站輸入網址,以求證相關網站是否已經修復問題。本報測試了香港匯豐銀行、琤芼行、中銀香港、惠康「惠康為您送」網上購物網站和繳費靈等涉及銀行戶口和網上交易的網站,全部已經更新了程式,不再受今次漏洞影響。