網路安全防護公司Fox-IT專家表示,OpenSSL加密軟體1個名為「心臟出血」(Heartbleed)的安全缺陷能讓駭客由電腦伺服器的工作記憶體,非法取得密碼和其他資訊。
OpenSSL是加密網路通訊的基礎技術,得以捍衛密碼、信用卡卡號和其他流通於網路上的資料,目前有超過一半的網站都採用這套技術。
Fox-IT在部落格文章寫道:「駭客可以藉著這個安全漏洞,發動無限次攻擊。」
「心臟出血」可能危及原始碼、密碼和可被用來冒用登入網站或解鎖加密資料的「金鑰」。
「心臟出血」網站描述這項安全漏洞「就像王冠上的珠寶」。網站指出:「外洩的機密鎖鑰讓駭客得以解密受保護服務過去和未來的通信,還可任意地冒名登入服務。」
網路安全專家表示,研究員得以藉此漏洞,挖出雅虎網站的密碼資料。雅虎今天則發表聲明說,已修復旗下主要服務網站的缺陷。
目前已有方案可「止血」,但網站和服務供應商必須安裝更新。