雅虎密碼外洩！加密技術有漏洞、全球2/3網站恐遭駭

精實新聞 2014-04-09 09:52:10 記者 陳苓 報導

網路通訊加密軟體OpenSSL爆出嚴重安全漏洞，駭客可藉此竊取用戶帳號、密碼、信用卡號等。網友實地測試後，成功取得數百個雅虎(Yahoo)帳號密碼。

CNET和華爾街日報報導，谷歌(Google)和網路安全公司Codenomicon 8日宣布發現名為「Heartbleed」的安全漏洞，已存在兩年之久，可能影響全球2/3網站。OpenSSL是各大網站廣泛使用的免費網路通訊加密軟體，部份版本存在Heartbleed漏洞，會讓伺服器記憶體內容曝光，駭客可偷取用戶的機密資料，如帳號密碼、信用卡號等，並可取得伺服器的數位秘鑰，偽裝成伺服器，解密用戶過往的通訊內容。

網友Scott Galloway推文表示，他利用Heartbleed漏洞，5分鐘內就從雅虎信箱取得200個帳號密碼。雅虎緊急搶救，發言人隨後表示已修復主要的安全缺失。測試顯示，谷歌、微軟(Microsoft)、臉書(Facebook)等似乎不受Heartbleed漏洞影響。

越來越多網站為了防止使用者的帳號密碼外洩，使用SSL加密傳輸送往伺服器的訊息，這種時候瀏覽器的網址列會出現上鎖圖示，表示正用安全協議傳送數據。編寫加密程式工程浩大，多數網站仰賴免費OpenSSL建立基本安全架構。