2014年04月15日 09:46新浪科技 微博 我有話說收藏本文

　【推薦閱讀】
　OpenSSL曝重大安全漏洞 可致網(wǎng)購支付密碼泄露
　解析OpenSSL漏洞：影響巨大 兩年前已存在
　“心臟流血”暴露OpenSSL缺陷：人手資金短缺

　　新浪科技訊 北京時間4月15日早間消息，加拿大稅務機關周一表示，黑客利用“心臟流血”漏洞竊取了大約900名納稅人的個人信息。安全專家警告稱，今后可能還會發(fā)生更多攻擊。
　　加拿大稅務局表示，黑客利用該漏洞竊取了用戶的社會保險號，該號碼可以在找工作或獲取政府福利時使用。
　　加拿大稅務局似乎是首家因為“心臟流血”漏洞而宣布遭遇攻擊的企業(yè)或機構(gòu)。不過，全球大約有三分之二的網(wǎng)站使用該漏洞所影響的OpenSSL技術來保護數(shù)據(jù)安全。
　　周一晚些時候，英國育兒網(wǎng)站Mumsnet因為“心臟流血”漏洞要求所有用戶重置密碼。但公司并未透露用戶信息是否被盜。
　　互聯(lián)網(wǎng)公司、技術提供商、企業(yè)和政府機關都在展開積極自查，以確定其系統(tǒng)是否受到該漏洞的影響。研究人員上周披露該漏洞時表示，他們并不清楚是否有人利用這項漏洞發(fā)動過攻擊，但這一漏洞已經(jīng)存在了兩年之久。
　　美國科技公司Akamai Technologies CTO安迪·艾利斯(25.43, -0.36, -1.40%)(Andy Ellis)表示，聽到加拿大稅務局遭到攻擊的消息并不令他意外，因為已經(jīng)有一些利用該漏洞的工具包在網(wǎng)上流傳，黑客可以借此對受影響的網(wǎng)站發(fā)動攻擊。
　　“本周預計將看到更多攻擊�！卑�利斯說。
　　Akamai上周末發(fā)現(xiàn)，用戶可能已經(jīng)有數(shù)據(jù)加密密鑰被黑客竊取�！拔覀儗ｉT安排了一個加密團隊通宵工作�！卑�利斯說。
　　在此之前，美國政府已經(jīng)在上周五警告各大銀行和其他企業(yè)，嚴防黑客利用這一漏洞發(fā)動的攻擊。
　　網(wǎng)絡安全公司Cybereason CEO里奧·迪福(Lior Div)表示，就連經(jīng)驗不豐富的黑客也試圖使用網(wǎng)上公開的工具，利用該漏洞發(fā)起攻擊�！拔覀冋�在賽跑�！钡细Ｕf，“那些從沒想過使用這種攻擊的人現(xiàn)在也將使用它�！�
　　需要明確的是，有安全專家表示，黑客已經(jīng)擁有很多易于使用的網(wǎng)絡攻擊工具，所以現(xiàn)在很難判斷“心臟流血”漏洞是否會引發(fā)攻擊事件大幅增加。
　　皮尤研究中心周一發(fā)布的報告顯示，今年1月有18%的美國成年網(wǎng)民報告其重要個人數(shù)據(jù)被盜，包括社會安全號、信用卡號或銀行賬戶信息，高于2013年7月的11%。
　　知名互聯(lián)網(wǎng)安全專家丹·卡明斯基(Dan Kaminsky)表示，盡管一些黑客會爭相利用該漏洞，但很多攻擊者仍在使用可以有效竊取數(shù)據(jù)的舊工具，包括用“SQL注入”技術竊取系統(tǒng)管理員賬號或獲取數(shù)據(jù)庫信息。
　　卡明斯基表示，似乎并不是所有黑客都會利用這一漏洞，“他們?nèi)杂凶约旱呐f玩具，而且舊玩具的效果要好很多。”
　　加拿大稅務局表示，此次攻擊的時間約為6個小時，警方正在對此展開調(diào)查，并了解是否有其他數(shù)據(jù)被盜。但安全專家稱，由于“心臟流血”漏洞可以在竊取數(shù)據(jù)時不留痕跡，因此很難完成這一任務。
　　受到該漏洞的影響，加拿大稅務局上周三在最繁忙的報稅期內(nèi)關閉了網(wǎng)絡服務。加拿大政府稱，所有政府網(wǎng)站都已經(jīng)在周一恢復，并且更新了OpenSSL軟件。(鼎宏)