加密技术漏洞 网路安全大出血

【大纪元4月9日报导】（中央社旧金山8日综合外电报导）网路安全研究人员发现，用来保护电子邮件传输、电子商务交易、社群网站文章和其他网路活动的加密技术出现安全漏洞，可能危及使用者密码和敏感资料。

网路安全防护公司Fox-IT专家表示，OpenSSL加密软体1个名为“心脏出血”（Heartbleed）的安全缺陷能让骇客由电脑服务器的工作记忆体，非法取得密码和其他资讯。

OpenSSL是加密网路通讯的基础技术，得以捍卫密码、信用卡卡号和其他流通于网路上的资料，目前有超过一半的网站都采用这套技术。

Fox-IT在部落格文章写道：“骇客可以借着这个安全漏洞，发动无限次攻击。”

“心脏出血”可能危及原始码、密码和可被用来冒用登入网站或解锁加密资料的“金钥”。

“心脏出血”网站描述这项安全漏洞“就像王冠上的珠宝”。网站指出：“外泄的机密锁钥让骇客得以解密受保护服务过去和未来的通信，还可任意地冒名登入服务。”

网路安全专家表示，研究员得以借此漏洞，挖出雅虎网站的密码资料。雅虎今天则发表声明说，已修复旗下主要服务网站的缺陷。

目前已有方案可“止血”，但网站和服务供应商必须安装更新。