常用網站Heartbleed災情大清查

震驚全球的OpenSSL危機號稱是史上最危險漏洞，不少國外網站紛紛修補漏洞，我們也在4月11日上午利用國外常見的Heartbleed Test網站服務，緊急測試了臺灣民眾最上使用網站。當時發現，在Alexa臺灣百大網站排名上，僅有1個網站受到Heartbleed影響；有47％的網站有提供SSL服務但未受到影響，或是已修復此漏洞；52％則是未開放預設SSL服務而測試無反應。

其他包括奇摩、臉書、Google、痞客邦等網站皆屬於提供SSL服務而不受到影響的網站。另外，巴哈姆特、Mobile 01、聯合新聞網、卡提諾論壇等常見網站則不開放預設SSL服務。

測試所用的Heartbleed Test網站，是目前多數人針對OpenSSL重大漏洞Heartbleed主要使用的測試工具，只要輸入網址或主機名稱，就可以檢測網站是否受Heartbleed影響，預設的測試埠口（Port）為443。

Heartbleed Test會模擬Heartbleed攻擊方式，來測試受測的網站是否會受漏洞影響，因為Heartbleed攻擊封包會造成網站伺服器回傳不該提供的記憶體內容而外洩資訊，若Heartbleed Test測試結果顯示有資訊傳回，表示該受測網站受到Heartbleed影響，且未修復；反之，則是該受測網站有提供SSL服務但未受到Heartbleed影響，或是已修復該漏洞。還有一種情況是受測網站沒有回應，這可能是該網站關閉了預設SSL服務，該網站的安全性也相對較高，不易讓Heartbleed攻擊得逞。但Heartbleed Test網站的測試無法保證該受測網站一定安全，只能提供初步檢測結果作為參考。

因為這次災情恐波及全球過半網站，特別是涉及線上交易的購物網站，如Yahoo購物網站、淘寶網、支付寶、eBay、Amazon、Paypal等，Yahoo雅虎和淘寶網皆受到此超級漏洞的影響，Yahoo已經在全球發布公告，對Yahoo的主要屬性，已經成功進行適當的修正；阿里巴巴則表示，淘寶網已經在第一時間處理和修復OpenSSL問題，目前已經處理完畢；支付寶則聲稱未受到影響。雖然eBay聲稱大部分服務未受影響，但是仍有少部分服務需要緊急修補。不過，Amazon、Paypal則表示購物網站不受影響。

臺灣購物網站和網路銀行大多不受影響

雖然，國外多家知名購物網站皆受到OpenSSL超危險漏洞影響，但是調查臺灣購物網站發現，7-Net、Gohappy、ASAP閃電購物網都沒有使用OpenSSL1.0.1至OpenSSL1.0.1f版，所以不受影響。Udn買東西則採用微軟加密傳輸技術，在此次OpenSSL漏洞中，採用微軟安全加密技術的網站，都躲過一劫。另外，讀冊網路書店則使用EV SSL憑證機制，所以不受影響。

臺灣Yahoo奇摩則表示，臺灣依全球總部政策因應。雅虎全球已發布公告，該公司團隊已對雅虎的主要屬性成功進行適當的修正。另外，我們也清查了臺灣提供網路銀行服務的銀行後發現，大部分網路銀行沒有採用OpenSSL1.0.1至OpenSSL1.0.1f版本，所以不受影響。

最好全面更換密碼

不過，這個漏洞已經存在超過2年，就算網站現在已經修復了OpenSSL漏洞，但是這些採用了問題OpenSSL版本的網站，過去仍有可能被駭客竊取了帳號密碼，因此，對民眾而言，最好全面更換所有網站服務的帳號密碼，特別是已經修復問題的網站也要更換密碼，例如Google或Facebook的各項服務。而且最好不同服務各自設定不同的密碼，避免有單一網站受害外洩了民眾的帳號密碼資料時，而導致其他網站也被駭客入侵。文⊙王宏仁、戴廷芳、胡瑋佳