根據法新社報導,加拿大聯邦警察逮捕1名19歲男子,並指控他利用Heartbleed漏洞,竊取900名加國納稅人的資料。加拿大國稅局因Heartbleed漏洞關閉多天。
Heartbleed 漏洞 – 一周了,心還在持續淌血嗎?
Heartbleed 漏洞攻擊已經成真。
這個漏洞已經佔據了過去一週的新聞頭條(理所當然的)。此一問題影響到的規模很龐大。OpenSSL已經被整合到許多的開發專案內。它可能是最常被用到的安全程式庫。
在上個禮拜五晚上(2014年4月11日),CloudFlare的挑戰成功的被Fedor Indutny和Ilkka Mattila所擊敗。
這挑戰很簡單。CloudFlare建立了一個有Heartbleed漏洞的伺服器。然後,他們要求社群利用這個漏洞來擷取該網站的SSL憑證私鑰。
就在一天之內,不只有一個,而是有兩個人成功地完成任務。
Megan Guess在Ars Technica提供了更多的資訊。不過你要知道的是,這對於Heartbleed會造成真正而實質性的風險提供了確切的證據。在此之前,我們(資訊安全社群)知道有可能從記憶體中擷取金鑰,但很難在沒有證據前說服別人。現在,我們已經有了。
我該怎麼辦?
我們已經建立這個簡短的(4分30秒)影片來解釋heartbleed和你可以做些什麼來保護自己和你的使用者。更多細節和連結如下。
我是個使用者;我可以做些什麼?
作為一個使用者,當連上一個網站或存取一個線上應用程式前要先問自己一個簡單的問題,「這個網站還會被Heartbleed漏洞影響嗎?」
如果答案是不會,立即修改你的密碼。請記得在你的每個帳號都使用獨特的密碼。如果你有許多的網路帳號,你可能會需要一個密碼管理程式,可以輕鬆地幫你管理每一個服務上的獨特密碼。
檢測工具:
想要線上購物或進行網路交易又怕怕的嗎?輸入網址,檢測網站是否有相關漏洞,到這邊安裝檢測工具
