发布日期：2014-04-13


新华网

　　据参考消息4月11日报道【英国《金融时报》网站4月 9日报道】题：“心脏出血漏洞”威胁网络数据安全

　　一种加密技术被发现存在缺陷，这有可能将网站流量、用户数据和存储内容暴露给网络犯罪分子。在所有网站中，使用这种加密技术的占到三分之二，包括谷歌、亚马逊、雅虎和脸谱等网站。

　　一些安全工程师上周在 OpenSSL软件中发现了这种“心脏出血漏洞”。在这一消息于7日晚间对外宣布之前，各技术公司紧急修复了各自的系统。

　　目前尚没有证据证明黑客已经利用了这一漏洞，该漏洞让电脑系统在长达三年的时间里一直处于危险状态。

　　OpenSSL公布了修复这一漏洞的最新方法，使用该软件的公司必须进行更新才能保证安全。

　　谷歌表示已修复了谷歌核心服务中的这一漏洞。脸谱网说，在这一消息曝光之前，该公司已加强了保护措施。亚马逊的云计算服务部门表示已设法降低了损害，因此客户不必采取任何行动。雅虎说，它已对主要网站采取了必要的纠正举措，而且正在努力修复其他网站。

　　但是，就算修复了软件的漏洞，也不一定能看出黑客是否已利用这一弱点进入了系统。监控全球网站编码的Netcraft公司说，50多万家被信赖的网站面临这一漏洞的威胁。

　　云网络安全服务公司总裁马修·普林斯说，该公司在上周得到警示后，已对加密技术进行了调整。该公司为大约5%的Web请求提供安全屏障。

　　普林斯说：“这非常糟糕，可能极端糟糕。这确实是有史以来最糟糕的互联网漏洞之一。”

　　普林斯警告说，由于六成以上的网站使用的都是这款软件，因此这个漏洞可能影响到“几乎每一个人”。他说，该漏洞能让黑客读取计算机存储的所有信息。

　　研究人员发现，人们可以利用这一弱点来读取雅虎邮箱中的邮件。不过目前尚不清楚其他安全信息的密钥是否也遭泄露，这些密钥所保护的内容涉及方方面面，从知识产权到信用卡信息。

　　普林斯说：“大家都在担心的一种可怕情形是，这个漏洞可能使一些机构用来存储数据的核心安全密钥也遭到泄露。”如果这些密钥被泄露，那么这些公司可能必须替换用来保护信息的所有安全密码。

　　发现这一漏洞的是安全检测公司Codenomicon和谷歌安全部门的研究人员。

　　他们说，由于通过这一漏洞可以不留痕迹地发动攻击，他们不清楚该漏洞是否已遭到大肆利用。他们呼吁相关公司用假信息建立“蜜罐”系统，从而诱捕黑客。

　　他们表示：“我们从袭击者的角度对我们自己的一些服务进行了测试。在不使用任何保密信息或凭证的情况下，我们能窃取证书密钥、用户名和密码、即时通信信息、电子邮件和重要的商业文件及通信。”