OpenSSL漏洞导致加拿大税务局纳税人信息被盗

fudashuai

       北京时间4月15日早间消息，加拿大税务机关周一表示，黑客利用“心脏流血”漏洞窃取了大约900名纳税人的个人信息。安全专家警告称，今后可能还会发生更多攻击。

　　加拿大税务局表示，黑客利用该漏洞窃取了用户的社会保险号，该号码可以在找工作或获取政府福利时使用。

　　加拿大税务局似乎是首家因为“心脏流血”漏洞而宣布遭遇攻击的企业或机构。不过，全球大约有三分之二的网站使用该漏洞所影响的OpenSSL技术来保护数据安全。

　　周一晚些时候，英国育儿网站Mumsnet因为“心脏流血”漏洞要求所有用户重置密码。但公司并未透露用户信息是否被盗。

　　互联网公司、技术提供商、企业和政府机关都在展开积极自查，以确定其系统是否受到该漏洞的影响。研究人员上周披露该漏洞时表示，他们并不清楚是否有人利用这项漏洞发动过攻击，但这一漏洞已经存在了两年之久。

　　美国科技公司Akamai Technologies CTO安迪·艾利斯表示，听到加拿大税务局遭到攻击的消息并不令他意外，因为已经有一些利用该漏洞的工具包在网上流传，黑客可以借此对受影响的网站发动攻击。

　　“本周预计将看到更多攻击。”艾利斯说。

　　Akamai上周末发现，用户可能已经有数据加密密钥被黑客窃取。“我们专门安排了一个加密团队通宵工作。”艾利斯说。

　　在此之前，美国政府已经在上周五警告各大银行和其他企业，严防黑客利用这一漏洞发动的攻击。

　　网络安全公司Cybereason CEO里奥·迪福(Lior Div)表示，就连经验不丰富的黑客也试图使用网上公开的工具，利用该漏洞发起攻击。“我们正在赛跑。”迪福说，“那些从没想过使用这种攻击的人现在也将使用它。”

　　需要明确的是，有安全专家表示，黑客已经拥有很多易于使用的网络攻击工具，所以现在很难判断“心脏流血”漏洞是否会引发攻击事件大幅增加。

　　皮尤研究中心周一发布的报告显示，今年1月有18%的美国成年网民报告其重要个人数据被盗，包括社会安全号、信用卡号或银行账户信息，高于2013年7月的11%。

　　知名互联网安全专家丹·卡明斯基(Dan Kaminsky)表示，尽管一些黑客会争相利用该漏洞，但很多攻击者仍在使用可以有效窃取数据的旧工具，包括用“SQL注入”技术窃取系统管理员账号或获取数据库信息。

　　卡明斯基表示，似乎并不是所有黑客都会利用这一漏洞，“他们仍有自己的旧玩具，而且旧玩具的效果要好很多。”

　　加拿大税务局表示，此次攻击的时间约为6个小时，警方正在对此展开调查，并了解是否有其他数据被盗。但安全专家称，由于“心脏流血”漏洞可以在窃取数据时不留痕迹，因此很难完成这一任务。

　　受到该漏洞的影响，加拿大税务局上周三在最繁忙的报税期内关闭了网络服务。加拿大政府称，所有政府网站都已经在周一恢复，并且更新了OpenSSL软件。