自90年代開始推出OpenSSL這個加密方法以來,Google、Yahoo、Facebook等各大網絡服務都採用這個加密方法。這個SSL加密法只有接收者才能解密,即使其他使用者接收到經SSL加密的檔案、信用卡帳號、Facebook貼子等等,都只能看到一堆隨機的字串。不過近日有研究人員宣佈,這款OpenSSL加密法存在嚴重的漏洞HeartBleed。
發現這個漏洞的研究人員來自Codenomicon 及 Google 安全人員發現,研究人員把這個漏洞形容為災難性的漏洞,利用這個漏洞,黑客們可以輕易從使用SSL加密法的網站及網絡服務中隨機偷取資料,只需要經過不斷重複進行偷取的工作,加以綜合及分析,黑客可以得到用戶的私穩及敏感資料,如信用卡帳號等。
目前已知受影響的網絡服務商為 Yahoo,他們表示已更新伺服器,基本上已完全修正。而Google、Facebook、NSA都表示,在HeartBleed漏洞正式公開前,已經在關鍵服務上進行了全面的修正,解決了問題。
Comments are closed.