在著名的 Heartbleed 缺陷被曝光一周后,第一个重大黑客攻击也被曝光。 4 月 14 日星期一,该网站创始人贾斯汀·罗伯茨 (Justine Roberts) 透露,在英国,面向英国母亲的 Mumsnet 论坛的 150 万用户数据可能已被利用 Heartbleed 计算机漏洞的黑客窃取。用户可以在论坛上提出与儿童有关的任何问题。“上周,我们意识到 Heartbleed 缺陷的存在,并立即应用补丁来解决 OpenSSL 类型安全空间中的漏洞”她在新闻稿中说。“但是,在我们应用补丁之前,在我们的登录页面上输入的用户数据已被访问”,她补充道。
Mumsnet 服务要求该网站的 150 万用户更改密码,但贾斯汀·罗伯茨 (Justine Roberts) 不知道有多少用户的数据可能遭到黑客攻击。“最糟糕的情况是我们可以访问每个 Mumsnet 用户帐户的数据”,她说。“这些信息有可能被用来连接到该网站并访问论坛上发布的消息历史记录、个人消息和用户的个人资料,尽管我们没有证据表明该帐户被用于任何用途除了报告安全漏洞之外”,她解释道。
持续六个小时的入侵
加拿大税务局内部发现了另一起数据盗窃事件。一名或多名计算机黑客利用这一安全漏洞窃取了加拿大的 900 个社会保险号码,这是个人所有管理身份程序的基本号码。与许多使用 OpenSSL 等安全空间的在线网站(主要互联网引擎、社交网络或管理网站)一样,加拿大税务机关上周承认其容易受到 Heartbleed 攻击。加拿大税务局 (CRA) 于 4 月 8 日关闭了其安全空间,允许纳税人访问其税务档案。
然而,情报部门告知 ARC,“恶意破坏纳税人数据”被观察到“六个小时的时间”CRA 专员 Andrew Treusch 在一份声明中表示。“约 900 名纳税人的社会保险号 (SIN) 被利用 Heartbleed 漏洞的人从 CRA 系统中窃取”他补充说,不排除与公司有关的机密信息也可能被窃取。
NAS 允许加拿大人或加拿大居民向政府部门、银行或医疗和社会福利组织发起主要程序。申请就业需要这个九位数的号码。据加拿大隐私专员办公室称,一些组织使用此 SIN 作为客户的档案号码,以避免创建其他号码。
有了NAS,任何人都可以“在数据库中查找您的个人数据”和访问“关于您的详细资料,相当于数据监控或监视你的生活”,警告该组织。加拿大税务机关将向此次黑客攻击的所有受害者发送一封挂号信,但不会直接向用户发送任何电子邮件,以避免任何网络钓鱼企图。 CRA 专员提出投诉,加拿大皇家骑警对这起计算机入侵加拿大安全政府系统的事件展开调查。
不幸的是,这两次黑客攻击很可能不会保持孤立状态。其他数据盗窃肯定会在未来几天或几周内被发现。
另请阅读:
Heartbleed 漏洞:测试您的在线服务的漏洞,2014 年 4 月 9 日
Heartbleed,令网络恐慌的安全漏洞,2014 年 4 月 10 日
