報導：NSA利用HeartBleed漏洞進行監聽

彭博社報導，美國國家安全局（National Security Agency, NSA）不但早在二年前就得知HeartBleed漏洞，而且還利用它來監聽。不過該報導已遭NSA否定，同時也有媒體分析認為可能性不大。

彭博社引用兩名匿名消息人士指出，NSA至少在二年前就得知許多網站存在一項漏洞，可被用以蒐集使用者帳號、密碼，或其他個人資料，這個漏洞就是上周被揭露的OpenSSL HeartBleed漏洞。但NSA決定不告知大眾，反而利用它來進行個人或企業的資料蒐集。

NSA透過發言人Vanee Vines向美國各大媒體發表官方聲明指出，在民間揭露OpenSSL的HeartBleed漏洞之前，NSA對此漏洞一無所知。他指出，聯邦政府自己都依賴OpenSSL來確保政府網站及其他網站的用戶安全，必須維持網路的開放、安全及可靠性，因此如果政府發現此類漏洞，一定會告知OpenSSL的負責機構。

也有報導認為彭博社報導可能性很低，因為若依「至少二年」的時間來推斷，NSA必須投入非常大的資源才可能在OpenSSL 1.0.1於2012年1月公佈beta版後、3月14日正式公佈前僅僅兩個月之間研究出漏洞並開始利用。

在中情局前僱員Edward Snowden爆料NSA以各種方法監聽個人電話及網路通訊內容後，已在世界各國引發國家安全與人民隱私的爭議。今年初美國總統歐巴馬承諾要針對改革NSA的監聽權，不過細節一直未公開。上周六紐約時報引述官員報導，歐巴馬雖然要求NSA發現網路漏洞時應立即通報以便加速修補，但仍然大開例外之門，允許在「明顯國家安全及執法所需」的情況下，可以破解加密或設計網路攻擊工具。

HeartBleed漏洞讓駭客得以存取https協定傳輸的加密資訊，被網路安全專家視為有史以來最危險的網路漏洞。上周揭露之後，震撼了全球網路。（編譯/林妍溱）