Heartbleed漏洞引駭客 使用者個資全都露

【新唐人亞太台2014年4月18日訊】被稱為史上網路最大漏洞的Heartbleed，心淌血，自從7號被揭露後，引發駭客行動，全球大約有一半網站都受到波及，特別是涉及線上交易的購物網站，使用者只要上網購物、登入帳號密碼，個資恐怕將一覽無遺。

記者 李晶晶：「現在下載手機APP要小心，因為有數據顯示，全球已經有超過6000多種APP受到Heartbleed，也是就心淌血漏洞的波及。」

Heartbleed，心淌血，目前網路安全漏洞的關鍵字。它存在所有內含Heartbeat延伸功能的OpenSSL加密軟體，當伺服器遭漏洞攻擊，駭客就能讀取電腦或是手機記憶體當中的資料，而且完全不留痕跡。

電腦防毒公司資深技術顧問 簡盛財：「APP它其實就很像是一個迷你型的瀏覽器，這個迷你型流覽器，它其實會連到後端一個網站。當它後端的伺服器，有存在這個漏洞的話，你開起這些APP去做這個，連開起的連線過程中，就有可能造成這些資料，有可能外洩的這些風險，尤其是你這些APP是跟，如果是跟比如說是線上交易，跟一些銀行帳號，跟一些那種股票相關的，這個你都要特別小心。」

其實，Heartbleed這個漏洞，已經默默存在超過2年4個月，直到今年的4月7號才被資安公司Codenomicon及Google安全部門的Neel Mehta，正式對外揭露，特別是涉及線上交易的購物網站，包括Google網站和各種服務、雅虎、淘寶網、支付寶等，都受到Heartbleed漏洞的影響。

電腦防毒公司資深技術顧問 簡盛財：「比如說你可能信用卡外洩，有可能被造成盜刷的這種情況，你的銀行帳號密碼外洩，有可能帳號裡面的資料會被駭客拿去使用，這都是對使用者影響非常大。」

資安教父布魯斯•施奈爾(Bruce Schneier)，也在他的網站公開表示：「這是一個災難性的漏洞，如果從1～10要評分的話，他給11分。」而有英國育兒網站表示：在安全漏洞被堵上之前，駭客可能就已經獲得密碼和個人訊息，加拿大稅務局則說：已經有900人的社保號碼被盜。

電腦防毒公司資深技術顧問 簡盛財：「最好的方法是網站管理者，必須去盡快更新這個漏洞，或修補這個漏洞，那一般使用者現在可以做的說，至少做一個密碼更換動作。」

另外，Android 4.1.1 版本的作業系統，也內含 Heartbleed漏洞的OpenSSL 程式庫，專家呼籲，使用者應立即更新版本，而許多網站公司也立即修復漏洞問題，不過Heartbleed漏洞到目前為止，究竟對全球造成多大的損失，還有待評估中。

新唐人亞太電視 林嘉韋 李晶晶 台灣台北報導