王孙馀
2019-06-04 06:10:06

旧金山(美联社) - 互联网安全的惊人失误已经暴露了数百万个密码,信用卡号码和其他敏感信息,可能被计算机黑客窃取,这些计算机黑客可能在发现之前一直秘密利用这个问题。

本周公布的细分影响了加密技术,该技术旨在保护电子邮件,即时消息和各种电子商务的在线帐户。

发现这种威胁的安全研究人员,被称为“Heartbleed”,特别担心这一漏洞,因为它未被发现超过两年。

Codenomicon首席执行官大卫·沙利尔说,虽然现在有办法解决安全问题,但仍有很多理由值得关注。 来自芬兰安全公司的一个小团队在与另一位同时发现威胁的谷歌公司研究员独立工作时诊断出Heartbleed。

“我不认为任何使用过该技术的人都无法明确表示他们没有受到损害,”Chartier说。

Chartier和其他计算机安全专家建议人们考虑更改所有在线密码。

安全分析软件制造商Qualys的首席技术官Wolfgang Kandek说:“我会改变每个地方的密码,因为它可能会被嗅出来。” “你不知道,因为攻击不会留下明显的足迹。”

但这些专家说,改变密码不会有任何好处,直到受影响的服务安装星期一发布的软件来解决问题。 这使受Heartbleed影响的互联网服务承担责任,提醒用户注意潜在的风险,让他们知道何时安装了Heartbleed修复程序,以便他们可以更改密码。

“这对于街头普通人来说很难理解,因为很难知道谁做了什么以及什么是安全的,”Chartier说。

雅虎公司在全球拥有超过8亿用户,是Heartbleed可能受到伤害的互联网服务之一。 这家位于加利福尼亚州桑尼维尔的公司表示,其最受欢迎的服务 - 包括体育,金融和Tumblr--已经得到修复,但其他产品的工作仍在进行,而周二在一份声明中没有说明。

“我们专注于为全球用户提供最安全的体验,并不断努力保护用户的数据,”雅虎表示。

Heartbleed在SSL / TLS中创建了一个空缺,这是一种加密技术,标记为小型,封闭的挂锁和Web浏览器上的“https:”,表示流量是安全的。 即使挂锁已关闭,该漏洞也可以窥探互联网流量。 据安全研究人员称,闯入者还可以获取解密加密数据的密钥,而网站所有者并不知道盗窃已经发生。

该问题仅影响称为OpenSSL的SSL / TLS变体,但这恰好是Internet上最常见的变体之一。

Chartier表示,大约三分之二的Web服务器依赖于OpenSSL。 这意味着,尽管加密提供了保护,但通过数十万个网站传递的信息仍然容易受到攻击。 除了电子邮件和聊天,OpenSSL还用于保护虚拟专用网络,员工使用虚拟专用网络与企业网络连接,以寻求保护机密信息免受窥探。

Heartbleed暴露了加密的弱点,同时主要的互联网服务,如雅虎,谷歌,微软和Facebook正在扩大他们的技术使用,以向用户保证他们的个人数据的神圣性。 正在采取额外的安全措施,以应对对美国政府监控在线活动和其他通信的担忧。 在过去10个月中,通过一系列前国家安全局承包商爱德华·斯诺登泄露的文件揭露了窥探。

尽管Heartbleed提出了担忧,但Codenomicon表示,由于设备和软件的“保守选择”,许多大型消费者网站不太可能受到影响。 “具有讽刺意味的是,小型和更先进的服务或升级到最新和最佳加密的服务将受到最大影响,”该安全公司在一篇博客文章中说。

虽然较小的网站可能需要数月才能安装Heartbleed修复程序,但Chartier预测所有主要的互联网服务都会迅速采取行动以保护其声誉。

在星期二的一篇文章宣布它安装了Heartbleed修复程序后,Tumblr向用户提供了一些直截了当的建议。

Tumblr说:“这仍然意味着我们都信任的小锁图标(HTTPS)可以保证我们的密码,个人电子邮件和信用卡的安全,实际上是任何知道该漏洞的人都可以访问所有私人信息。” “这可能是一个感觉生病的好日子,并且需要一些时间来改变你的密码 - 特别是你的高安全性服务,如电子邮件,文件存储和银行业务,这可能已经被这个错误所破坏。”

___

Jesdanun在纽约报道。