OpenSSL漏洞導致加拿大稅務局納稅人信息被盜

【推薦讀】

新浪科技訊 北京時間4月15日早間消息，加拿大稅務機關周一表示，黑客利用“心臟流血”漏洞竊取了大約900名納稅人的個人信息。安全專家警告稱，今后可能還會發生更多攻擊。

加拿大稅務局表示，黑客利用該漏洞竊取了用戶的社會保險號，該號碼可以在找工作或獲取政府福利時使用。

加拿大稅務局似乎是首家因為“心臟流血”漏洞而宣佈遭遇攻擊的企業或機構。不過，全球大約有三分之二的網站使用該漏洞所影響的OpenSSL技術來保護數據安全。

周一晚些時候，英國育兒網站Mumsnet因為“心臟流血”漏洞要求所有用戶重置密碼。但公司並未透露用戶信息是否被盜。

互聯網公司、技術提供商、企業和政府機關都在展開積極自查，以確定其系統是否受到該漏洞的影響。研究人員上周披露該漏洞時表示，他們並不清楚是否有人利用這項漏洞發動過攻擊，但這一漏洞已經存在了兩年之久。

美國科技公司Akamai Technologies CTO安迪·艾利斯(Andy Ellis)表示，聽到加拿大稅務局遭到攻擊的消息並不令他意外，因為已經有一些利用該漏洞的工具包在網上流傳，黑客可以藉此對受影響的網站發動攻擊。

“本周預計將看到更多攻擊。”艾利斯。

Akamai上周末發現，用戶可能已經有數據加密密鑰被黑客竊取。“我們專門安排了一個加密團隊通宵工作。”艾利斯。

在此之前，美國政府已經在上周五警告各大銀行和其他企業，嚴防黑客利用這一漏洞發動的攻擊。

網絡安全公司Cybereason CEO裏奧·迪福(Lior Div)表示，就連經驗不豐富的黑客也試圖使用網上公開的工具，利用該漏洞發起攻擊。“我們正在賽跑。”迪福，“那些從沒想過使用這種攻擊的人現在也將使用它。”

需要明確的是，有安全專家表示，黑客已經擁有很多易於使用的網絡攻擊工具，所以現在很難判斷“心臟流血”漏洞是否會引發攻擊事件大幅增加。

皮尤研究中心周一發布的報告顯示，今年1月有18%的美國成年網民報告其重要個人數據被盜，包括社會安全號、信用卡號或銀行賬戶信息，高於2013年7月的11%。

知名互聯網安全專家丹·卡明斯基(Dan Kaminsky)表示，盡管一些黑客會爭相利用該漏洞，但很多攻擊者仍在使用可以有效竊取數據的舊工具，包括用“SQL注入”技術竊取系統管理員賬號或獲取資料庫信息。

卡明斯基表示，似乎並不是所有黑客都會利用這一漏洞，“他們仍有自己的舊玩具，而且舊玩具的效果要好很多。”

加拿大稅務局表示，此次攻擊的時間約為6個小時，警方正在對此展開調查，並了解是否有其他數據被盜。但安全專家稱，由於“心臟流血”漏洞可以在竊取數據時不留痕跡，因此很難完成這一任務。

受到該漏洞的影響，加拿大稅務局上周三在最繁忙的報稅期內關閉了網絡服務。加拿大政府稱，所有政府網站都已經在周一恢復，並且更新了OpenSSL軟件。(鼎宏)