Heartbleed错误。但是有些人不相信-毕竟,流血的心脏实际上伤害了谁?好吧,据报道有数起Heartbleed攻击被用来造成真正的伤害。如果您认为Heartbleed只是在大肆宣传,请三思。
从加拿大税务局偷来的900个罪孽
在加拿大,攻击者使用Heartbleed bug攻击了加拿大税务局,捕获了大约属于提交所得税的人的900个社会保险号码(SIN)。从根本上讲,这相当于加拿大,相当于攻击者从美国国税局捕获了社会安全号码(SSN)。
攻击者因捕获这些数字而被捕,但是我们不知道攻击者是否出售了SIN或将其传递给其他人。就像美国的社会保险号码一样,这些号码通常是不可更改的-仅当您证明自己是欺诈行为的受害者时才能更改。受影响的纳税人将必须订阅信用监控服务,并跟踪试图以他们的名义开立银行帐户和信用卡的人。身份盗用在这里是一个严重的问题。
Mumsnet和其他密码盗用
Mumsnet最近宣布将强制所有用户更改其密码。这不仅是一种预防措施,Mumsnet有理由相信攻击者可以访问多达150万用户的密码和私人消息。
这可能不是唯一一个敏感的网站密码被盗。如果人们犯了在多个网站上重复使用相同密码的重大错误,则攻击者可以进入其他帐户。例如,如果某人为其Mumsnet帐户和与其Mumsnet帐户绑定的电子邮件帐户使用相同的密码,则攻击者可以进入该电子邮件帐户。从那里,攻击者可以重置其他密码并进入其他帐户
如果您收到来自某服务的电子邮件,建议您更改密码并确保您在其他地方未使用相同的密码,则可能该服务的密码被盗-或不确定密码是否被盗,并且不确定。属于其客户之一的内部公司VPN或虚拟专用网络。 VPN使用的是多因素身份验证,但这没关系–攻击者能够通过Heartbleed攻击从VPN设备窃取私有加密密钥,然后能够劫持激活VPN会话。
我们不知道这里受到了什么公司的攻击-Mandiant刚刚宣布这是一家“大型公司"。像这样的攻击可以用来窃取敏感的公司数据或感染内部公司网络。如果公司不能确保其网络不容易受到Heartbleed的攻击,则可以轻松绕过其安全性。 。我们不知道这里受到了什么公司的攻击,因为公司不想宣布他们已经受到威胁。
这不是Heartbleed唯一被用来从其窃取私有加密密钥的案例。正在运行的服务器的内存。 CloudFlare怀疑Heartbleed是否可用于窃取私有加密密钥,并提出了挑战-尝试从我们的服务器中获取私有加密密钥。
国家监视机构
有争议的是,Heartbleed bug可能是在国家监视和情报机构公开之前被发现和利用的。知识。彭博社报道说,国家安全局已经利用Heartbleed至少两年了。美国国家安全局和白宫否认了这一说法,但是国家情报总监詹姆斯·克拉珀(James Clapper)著名地表示,国家安全局(NSA)在国家安全局(NASA)的监视活动开始之前没有收集有关数百万美国人的任何数据,我们现在知道这是不正确的。我们还知道,NSA会存储安全漏洞以用于监视目标,而不是报告这些漏洞,以便对其进行修复。
除了NSA之外,世界上还有其他国家监视机构。另一个国家的州监视机构可能发现了此bug,并将其用于监视目标,甚至可能是美国的公司和政府机构。我们在这里无法确定任何信息,但是Heartbleed很有可能在公开披露之前就已经用于间谍活动-既然已经成为公众知识,它肯定会用于这些目的!
我们只是不知道
我们只是不知道Heartbleed造成了多大伤害。由于Heartbleed而最终导致违规的企业通常会希望避免做出任何可能伤害其业务或损害其股价的尴尬公告。通常,内部解决问题要比让全世界知道要容易。
在许多其他情况下,服务人员不知道自己已被Heartbleed咬伤。由于Heartbleed漏洞使用的请求类型,Heartbleed攻击不会显示在许多服务器日志中。如果您知道要寻找的内容,它仍会出现在网络流量日志中,但并非每个组织都知道要寻找的内容。
Heartbleed错误在过去变得被利用之前,也很有可能被利用。公众知识。网络犯罪分子(或更可能是国家监视机构)发现该漏洞并一直在使用它。这里的示例只是我们所知道的几件事的快照。
炒作是有道理的-重要的是我们必须尽快更新服务和设备,以减少损失并避免更糟
图片来源:Flickr上的窥探新闻,Flickr上的ChrisDag
详细了解:在线安全,SSL。
标签:
