（美國）網絡世界保安敲起嚴重警號，涉及全球多達三分之二網站。歐美保安專家發現，一項全球普及的互聯網加密技術兩年來一直存在重大漏洞，令黑客有機會破解普通民眾的網上社交活動信息的加密保護，不留痕地竊取其密碼、儲存檔案以至銀行戶口和信用卡資料等重要私隱，數以百萬計密碼和信用卡號碼或因此泄露。

今次漏洞發現於加密軟件“OpenSSL”，分別由芬蘭科技保安企業Codenomicon的3名員工組成的研究隊伍和Google保安的梅塔（Neel Mehta）在上週發現。芬蘭團隊是在改善公司旗下Defensics電腦防護軟件的SafeGuard功能期間知悉，而梅塔則是首名向“OpenSSL”研究隊伍通報漏洞的人。

Google雅虎fb中招
即時修復

上述研究人員在週一公佈發現漏洞。《紐約時報》指漏洞涉及全球2/3網站，Google、facebook、雅虎和亞馬遜網上服務等科技巨擘紛紛宣佈正在或已經修復問題。科技網站Ars Technica表示，其保安研究員成功利用免費工具，從雅虎電郵竊取資料，雅虎承認網站容易中招，但強調及後已修補旗下各項程式。

研究人員將今次漏洞命名為“心臟出血”（Heartbleed），原因是它與“OpenSSL”系統一項名為“心跳”的功能有關。“OpenSSL”系統是處理互聯網SSL加密格式的其一最常見程式庫，其“心跳”功能容許黑客向社交和金融服務網站的伺服器送出惡意信息，從而騙取對方泄露機密信息（見另稿）。

Codenomicon行政總裁David Chartier形容這是嚴重漏洞：“不懷好意者可進入電腦儲存，竊取加密鑰匙、用戶名稱、密碼和有價值的知識產權，而且不會留下任何痕。除非黑客向你勒索，或在網上發佈你的資訊，或盜取並利用貿易秘密，你不會知道你有否中招。”

應儘快更新
修改密碼要謹慎

LastPass總裁Joe Siegrist則形容，漏洞可怕之處，在於不知道各公司有什麼信息被竊，亦不知道漏洞被發現前遭黑客利用了多久。《紐約時報》引述保安專家稱，有證據顯示部份黑客知道漏洞存在，並曾利用過它竊取資料。

網絡保安專家指出，相關網站擁有者應儘快將現時採用的“OpenSSL”系統升級。不過建議用戶等待，別急隨便修改密碼，因為若在尚未修復的網站上修改密碼，或令新密碼為黑客知悉，因此建議用戶先到https://www.ssllabs.com/ssltest/網站輸入網址，以求證相關網站是否已經修復問題。本報測試了香港匯豐銀行、恒生銀行、中銀香港、惠康“惠康為您送”網上購物網站和繳費靈等涉及銀行戶口和網上交易的網站，全部已經更新了程式，不再受今次漏洞影響。（香港明報）