新浪科技讯 北京时间4月15日早间消息,加拿大税务机关周一表示,黑客利用“心脏流血”漏洞窃取了大约900名纳税人的个人信息。安全专家警告称,今后可能还会发生更多攻击。
加拿大税务局表示,黑客利用该漏洞窃取了用户的社会保险号,该号码可以在找工作或获取政府福利时使用。
加拿大税务局似乎是首家因为“心脏流血”漏洞而宣布遭遇攻击的企业或机构。不过,全球大约有三分之二的网站使用该漏洞所影响的OpenSSL技术来保护数据安全。
周一晚些时候,英国育儿网站Mumsnet因为“心脏流血”漏洞要求所有用户重置密码。但公司并未透露用户信息是否被盗。
互联网公司、技术提供商、企业和政府机关都在展开积极自查,以确定其系统是否受到该漏洞的影响。研究人员上周披露该漏洞时表示,他们并不清楚是否有人利用这项漏洞发动过攻击,但这一漏洞已经存在了两年之久。
美国科技公司Akamai Technologies CTO安迪·艾利斯(Andy Ellis)表示,听到加拿大税务局遭到攻击的消息并不令他意外,因为已经有一些利用该漏洞的工具包在网上流传,黑客可以借此对受影响的网站发动攻击。
“本周预计将看到更多攻击。”艾利斯说。
Akamai上周末发现,用户可能已经有数据加密密钥被黑客窃取。“我们专门安排了一个加密团队通宵工作。”艾利斯说。
在此之前,美国政府已经在上周五警告各大银行和其他企业,严防黑客利用这一漏洞发动的攻击。
网络安全公司Cybereason CEO里奥·迪福(Lior Div)表示,就连经验不丰富的黑客也试图使用网上公开的工具,利用该漏洞发起攻击。“我们正在赛跑。”迪福说,“那些从没想过使用这种攻击的人现在也将使用它。”
需要明确的是,有安全专家表示,黑客已经拥有很多易于使用的网络攻击工具,所以现在很难判断“心脏流血”漏洞是否会引发攻击事件大幅增加。
皮尤研究中心周一发布的报告显示,今年1月有18%的美国成年网民报告其重要个人数据被盗,包括社会安全号、信用卡号或银行账户信息,高于2013年7月的11%。
知名互联网安全专家丹·卡明斯基(Dan Kaminsky)表示,尽管一些黑客会争相利用该漏洞,但很多攻击者仍在使用可以有效窃取数据的旧工具,包括用“SQL注入”技术窃取系统管理员账号或获取数据库信息。
卡明斯基表示,似乎并不是所有黑客都会利用这一漏洞,“他们仍有自己的旧玩具,而且旧玩具的效果要好很多。”
加拿大税务局表示,此次攻击的时间约为6个小时,警方正在对此展开调查,并了解是否有其他数据被盗。但安全专家称,由于“心脏流血”漏洞可以在窃取数据时不留痕迹,因此很难完成这一任务。
受到该漏洞的影响,加拿大税务局上周三在最繁忙的报税期内关闭了网络服务。加拿大政府称,所有政府网站都已经在周一恢复,并且更新了OpenSSL软件。