2014年04月15日 09:46
新浪科技 微博 我有话说收藏本文
【推荐阅读】
OpenSSL曝重大安全漏洞 可致网购支付密码泄露
解析OpenSSL漏洞:影响巨大 两年前已存在
“心脏流血”暴露OpenSSL缺陷:人手资金短缺
新浪科技讯 北京时间4月15日早间消息,加拿大税务机关周一表示,黑客利用“心脏流血”漏洞窃取了大约900名纳税人的个人信息。安全专家警告称,今后可能还会发生更多攻击。
加拿大税务局表示,黑客利用该漏洞窃取了用户的社会保险号,该号码可以在找工作或获取政府福利时使用。
加拿大税务局似乎是首家因为“心脏流血”漏洞而宣布遭遇攻击的企业或机构。不过,全球大约有三分之二的网站使用该漏洞所影响的OpenSSL技术来保护数据安全。
周一晚些时候,英国育儿网站Mumsnet因为“心脏流血”漏洞要求所有用户重置密码。但公司并未透露用户信息是否被盗。
互联网公司、技术提供商、企业和政府机关都在展开积极自查,以确定其系统是否受到该漏洞的影响。研究人员上周披露该漏洞时表示,他们并不清楚是否有人利用这项漏洞发动过攻击,但这一漏洞已经存在了两年之久。
美国科技公司Akamai Technologies CTO安迪·
艾利斯(
25.43,
-0.36,
-1.40%)(Andy Ellis)表示,听到加拿大税务局遭到攻击的消息并不令他意外,因为已经有一些利用该漏洞的工具包在网上流传,黑客可以借此对受影响的网站发动攻击。
“本周预计将看到更多攻击。”艾利斯说。
Akamai上周末发现,用户可能已经有数据加密密钥被黑客窃取。“我们专门安排了一个加密团队通宵工作。”艾利斯说。
在此之前,美国政府已经在上周五警告各大银行和其他企业,严防黑客利用这一漏洞发动的攻击。
网络安全公司Cybereason CEO里奥·迪福(Lior Div)表示,就连经验不丰富的黑客也试图使用网上公开的工具,利用该漏洞发起攻击。“我们正在赛跑。”迪福说,“那些从没想过使用这种攻击的人现在也将使用它。”
需要明确的是,有安全专家表示,黑客已经拥有很多易于使用的网络攻击工具,所以现在很难判断“心脏流血”漏洞是否会引发攻击事件大幅增加。
皮尤研究中心周一发布的报告显示,今年1月有18%的美国成年网民报告其重要个人数据被盗,包括社会安全号、信用卡号或银行账户信息,高于2013年7月的11%。
知名互联网安全专家丹·卡明斯基(Dan Kaminsky)表示,尽管一些黑客会争相利用该漏洞,但很多攻击者仍在使用可以有效窃取数据的旧工具,包括用“SQL注入”技术窃取系统管理员账号或获取数据库信息。
卡明斯基表示,似乎并不是所有黑客都会利用这一漏洞,“他们仍有自己的旧玩具,而且旧玩具的效果要好很多。”
加拿大税务局表示,此次攻击的时间约为6个小时,警方正在对此展开调查,并了解是否有其他数据被盗。但安全专家称,由于“心脏流血”漏洞可以在窃取数据时不留痕迹,因此很难完成这一任务。
受到该漏洞的影响,加拿大税务局上周三在最繁忙的报税期内关闭了网络服务。加拿大政府称,所有政府网站都已经在周一恢复,并且更新了OpenSSL软件。(鼎宏)
扫码关注5G通信官方公众号,免费领取以下5G精品资料
1、回复“ZGDX”免费领取《中国电信5G NTN技术白皮书》
2、回复“TXSB”免费领取《通信设备安装工程施工工艺图解》
3、回复“YDSL”免费领取《中国移动算力并网白皮书》
4、回复“5GX3”免费领取《 R16 23501-g60 5G的系统架构1》
5、回复“iot6”免费领取《【8月30号登载】物联网创新技术与产业应用蓝皮书——物联网感知技术及系统应用》
6、回复“6G31”免费领取《基于云网融合的6G关键技术白皮书》
7、回复“IM6G”免费领取《6G典型场景和关键能力白皮书》
8、回复“SPN2”免费领取《中国移动SPN2.0技术白皮书》