Heartbleed漏洞引骇客 使用者个资全都露

【新唐人2014年04月19日讯】被称为史上最大漏洞Heartbleed,心淌血,自7号被揭露后,引发骇客行动,全球大约有一半网站都受到波及,特别是涉及线上交易的购物网站,使用者只要上网购物、登入账号密码,个资安全问题,在网路上,恐怕一览无遗。

现在下载手机APP要小心,因为有数据显示,全球已经有超过6000多种APP受到Heartbleed,也是就心淌血漏洞的波及。

Heartbleed,心淌血,目前网路安全漏洞的关键字。它存在所有内含Heartbeat延伸功能的OpenSSL加密软体,当服务器遭漏洞攻击,骇客就能读取电脑或是手机记忆体当中的资料,而且完全不留痕迹。

电脑防毒公司资深技术顾问简盛财:“APP它其实就很像是一个迷你型的浏览器,这个迷你型流览器,它其实会连到后端一个网站。当它后端的服务器,有存在这个漏洞的话,你开起这些APP去做这个,连开起的连线过程中,就有可能造成这些资料,有可能外泄的这些风险,尤其是你这些APP是跟,如果是跟比如说是线上交易,跟一些银行账号,跟一些那种股票相关的,这个你都要特别小心。”

其实,Heartbleed这个漏洞,已经默默存在超过2年4个月,直到今年的4月7号才被资安公司Codenomicon及Google安全部门的Neel Mehta正式对外揭露,特别是涉及线上交易的购物网站,包括Google网站和各种服务、雅虎、淘宝网、支付宝等,都受到Heartbleed漏洞的影响。

电脑防毒公司资深技术顾问简盛财:“比如说你可能信用卡外泄,有可能被造成盗刷的这种情况,你的银行账号密码外泄,有可能账号里面的资料会被骇客拿去使用,这都是对使用者影响非常大。”

资安教父布鲁斯•施奈尔(Bruce Schneier),也在他的网站公开表示:“这是一个灾难性的漏洞,如果从1∼10要评分的话,他给11分。”

而有英国育儿网站表示:在安全漏洞被堵上之前,骇客可能就已经获得密码和个人讯息,加拿大税务局则说:已经有900人的社保号码被盗。

电脑防毒公司资深技术顾问简盛财:“最好的方法是网站管理者,必须去尽快更新这个漏洞,或修补这个漏洞,那一般使用者现在可以做的说,至少做一个密码更换动作。”

另外,Android 4.1.1版本的作业系统,也内含Heartbleed漏洞的OpenSSL程式库,专家呼吁,使用者应立即更新版本,而许多网站公司也立即修复漏洞问题,不过Heartbleed漏洞到目前为止,究竟对全球造成多大的损失,还有待评估中。

新唐人亚太电视林嘉韦、李晶晶台湾台北报导

相关文章
评论