明報新聞網海外版-加西版(溫哥華) - Canada Vancouver Chinese Newspaper
 
 
圖片
放大
 

其他新聞
馬航殘骸料數日內找到
馬國前總理稱事故無損馬中關係
中澳總理高溫下商馬航搜救
美高中生校園斬逾20人
親俄分子拒降向俄求援 烏發最後48小時通牒
[顯示全部題目]

[昔日明報]

 
國際
 加密技術漏洞 威脅全球2/3網站
OpenSSL如無掩雞籠 恐泄百萬計密碼卡號

【綜合報道】網絡世界保安敲起嚴重警號,涉及全球多達三分之二網站。歐美保安專家發現,一項全球普及的互聯網加密技術兩年來一直存在重大漏洞,令黑客有機會破解普通民眾的網上社交活動信息的加密保護,不留痕[地竊取其密碼、儲存檔案以至銀行戶口和信用卡資料等重要私隱,數以百萬計密碼和信用卡號碼或因此泄露。

今次漏洞發現於加密軟件「OpenSSL」,分別由芬蘭科技保安企業Codenomicon的3名員工組成的研究隊伍和Google保安的梅塔(Neel Mehta)在上周發現。芬蘭團隊是在改善公司旗下Defensics電腦防護軟件的SafeGuard功能期間知悉,而梅塔則是首名向「OpenSSL」研究隊伍通報漏洞的人。

Google雅虎fb中招 即時修復

上述研究人員在周一公布發現漏洞。《紐約時報》指漏洞涉及全球2/3網站,Google、facebook、雅虎和亞馬遜網上服務等科技巨擘紛紛宣布正在或已經修復問題。科技網站Ars Technica表示,其保安研究員成功利用免費工具,從雅虎電郵竊取資料,雅虎承認網站容易中招,但強調及後已修補旗下各項程式。

研究人員將今次漏洞命名為「心臟出血」,原因是它與「OpenSSL」系統一項名為「心跳」的功能有關。「OpenSSL」系統是處理互聯網SSL加密格式的其一最常見程式庫,其「心跳」功能容許黑客向社交和金融服務網站的伺服器送出惡意信息,從而騙取對方泄露機密信息(見另稿)。

Codenomicon行政總裁David Chartier形容這是嚴重漏洞:「不懷好意者可進入電腦儲存,竊取加密鑰匙、用戶名稱、密碼和有價值的知識產權,而且不會留下任何痕[。除非黑客向你勒索,或在網上發布你的資訊,或盜取並利用貿易秘密,你不會知道你有否中招。」

LastPass總裁Joe Siegrist則形容,漏洞可怕之處,在於不知道各公司有什麼信息被竊,亦不知道漏洞被發現前遭黑客利用了多久。《紐約時報》引述保安專家稱,有證據顯示部分黑客知道漏洞存在,並曾利用過它竊取資料。

應盡快更新 修改密碼要謹慎

網絡保安專家指出,相關網站擁有者應盡快將現時採用的「OpenSSL」系統升級。不過建議用戶等待,別急蚗H便修改密碼,因為若在尚未修復的網站上修改密碼,或令新密碼為黑客知悉,因此建議用戶先到https://www.ssllabs.com/ssltest/ 網站輸入網址,以求證相關網站是否已經修復問題。本報測試了香港匯豐銀行、琤芼行、中銀香港、惠康「惠康為您送」網上購物網站和繳費靈等涉及銀行戶口和網上交易的網站,全部已經更新了程式,不再受今次漏洞影響。

 
 
今日相關新聞
加密技術漏洞 威脅全球2/3網站
港專家:系統普及 漏洞非常嚴重
[顯示全部題目]

 
廣告 advertisement
 
 
廣告 advertisement
 
 
 
 
 
主頁 ,  聘請 , 招租 ,
商業招租  ,  出讓  ,  補習  , 
招生  ,  各類服務  ,  其他