全球爆發OpenSSL超危險漏洞,但臺灣大部分網路銀行與電子商務網站沒有採用OpenSSL1.0.1及OpenSSL1.0.1f版本,所以不受影響。

震驚全球網際網路的Heartbleed 重大加密傳輸漏洞,於4月8日爆發。近幾天全球網路公司都處於緊急狀態,試圖修補各服務上的巨大漏洞。但是,究竟為什麼 Heartbleed臭蟲令各金融網站如此聞之色變?
嚴重性在於,Heartbleed臭蟲可以讓網路上任何人讀取到由OpenSSL防護的系統記憶體,進而取得服務供應商或加密網路流量的金鑰,與使用者的帳號與密碼。攻擊者可藉此竊取服務或身份驗證內容,並且假冒服務或使用者身份進行線上交易等。例如,民眾經常使用的Google的Wallet與Yahoo的金融服務皆存在此漏洞,這兩大業者也緊急修補。

臺灣民眾也越來越依賴網路銀行,我們調查臺灣提供網路銀行服務的銀行後發現,大部分網路銀行沒有採用OpenSSL1.0.1及OpenSSL1.0.1f版本,所以不受影響。

 

臺灣網路銀行Heartbleed影響清單

銀行名稱 是否受影響? 他們怎麼說?
臺灣銀行 不受影響 沒有採用OpenSSL
兆豐銀行 不受影響

採用2007年的OpenSSL 0.9.8版,所以不受影響

郵局 不受影響 沒有採用OpenSSL 1.0.1 版
國泰世華銀行 不受影響

網路銀行採用微軟平臺,沒有採用OpenSSL開放源碼加密安全套件

滙豐銀行 不受影響 沒有採用OpenSSL
上海商業銀行 不受影響 沒有採用OpenSSL
彰化六信 不受影響 僅表示不受影響,未說明細節
板信商業銀行 不受影響 僅表示不受影響,未說明細節
土地銀行 不確定

對外網路銀行採用微軟的IIS,所以不受影響,另外,對內網路採用多種OpenSSL版本,目前正在清查是否採用OpenSSL 1.0.1 版至 1.0.1f 版。

陽信銀行

不回應 不回應

 

4月14日內容更新說明:臺灣銀行於4月14日來信回覆,未採用OpenSSL而不受Heartbleed影響,已更新內文。


Advertisement

更多 iThome相關內容