臺灣民眾常用的網站、線上購物、網路銀行大多沒有受到Heartbleed災情影響。資料來源:iThome整理,2014年4月11日

震驚全球的OpenSSL危機號稱是史上最危險漏洞,不少國外網站紛紛修補漏洞,我們也在4月11日上午利用國外常見的Heartbleed Test網站服務,緊急測試了臺灣民眾最上使用網站。當時發現,在Alexa臺灣百大網站排名上,僅有1個網站受到Heartbleed影響;有47%的網站有提供SSL服務但未受到影響,或是已修復此漏洞;52%則是未開放預設SSL服務而測試無反應。

其他包括奇摩、臉書、Google、痞客邦等網站皆屬於提供SSL服務而不受到影響的網站。另外,巴哈姆特、Mobile 01、聯合新聞網、卡提諾論壇等常見網站則不開放預設SSL服務。

測試所用的Heartbleed Test網站,是目前多數人針對OpenSSL重大漏洞Heartbleed主要使用的測試工具,只要輸入網址或主機名稱,就可以檢測網站是否受Heartbleed影響,預設的測試埠口(Port)為443。

Heartbleed Test會模擬Heartbleed攻擊方式,來測試受測的網站是否會受漏洞影響,因為Heartbleed攻擊封包會造成網站伺服器回傳不該提供的記憶體內容而外洩資訊,若Heartbleed Test測試結果顯示有資訊傳回,表示該受測網站受到Heartbleed影響,且未修復;反之,則是該受測網站有提供SSL服務但未受到Heartbleed影響,或是已修復該漏洞。還有一種情況是受測網站沒有回應,這可能是該網站關閉了預設SSL服務,該網站的安全性也相對較高,不易讓Heartbleed攻擊得逞。但Heartbleed Test網站的測試無法保證該受測網站一定安全,只能提供初步檢測結果作為參考。

因為這次災情恐波及全球過半網站,特別是涉及線上交易的購物網站,如Yahoo購物網站、淘寶網、支付寶、eBay、Amazon、Paypal等,Yahoo雅虎和淘寶網皆受到此超級漏洞的影響,Yahoo已經在全球發布公告,對Yahoo的主要屬性,已經成功進行適當的修正;阿里巴巴則表示,淘寶網已經在第一時間處理和修復OpenSSL問題,目前已經處理完畢;支付寶則聲稱未受到影響。雖然eBay聲稱大部分服務未受影響,但是仍有少部分服務需要緊急修補。不過,Amazon、Paypal則表示購物網站不受影響。

臺灣購物網站和網路銀行大多不受影響

雖然,國外多家知名購物網站皆受到OpenSSL超危險漏洞影響,但是調查臺灣購物網站發現,7-Net、Gohappy、ASAP閃電購物網都沒有使用OpenSSL1.0.1至OpenSSL1.0.1f版,所以不受影響。Udn買東西則採用微軟加密傳輸技術,在此次OpenSSL漏洞中,採用微軟安全加密技術的網站,都躲過一劫。另外,讀冊網路書店則使用EV SSL憑證機制,所以不受影響。

臺灣Yahoo奇摩則表示,臺灣依全球總部政策因應。雅虎全球已發布公告,該公司團隊已對雅虎的主要屬性成功進行適當的修正。另外,我們也清查了臺灣提供網路銀行服務的銀行後發現,大部分網路銀行沒有採用OpenSSL1.0.1至OpenSSL1.0.1f版本,所以不受影響。

最好全面更換密碼

不過,這個漏洞已經存在超過2年,就算網站現在已經修復了OpenSSL漏洞,但是這些採用了問題OpenSSL版本的網站,過去仍有可能被駭客竊取了帳號密碼,因此,對民眾而言,最好全面更換所有網站服務的帳號密碼,特別是已經修復問題的網站也要更換密碼,例如Google或Facebook的各項服務。而且最好不同服務各自設定不同的密碼,避免有單一網站受害外洩了民眾的帳號密碼資料時,而導致其他網站也被駭客入侵。文⊙王宏仁、戴廷芳、胡瑋佳


Advertisement

更多 iThome相關內容