【綜合報道】網絡世界保安敲起嚴重警號，涉及全球多達三分之二網站。歐美保安專家發現，一項全球普及的互聯網加密技術兩年來一直存在重大漏洞，令黑客有機會破解普通民眾的網上社交活動信息的加密保護，不留痕�[地竊取其密碼、儲存檔案以至銀行戶口和信用卡資料等重要私隱，數以百萬計密碼和信用卡號碼或因此泄露。

今次漏洞發現於加密軟件「OpenSSL」，分別由芬蘭科技保安企業Codenomicon的3名員工組成的研究隊伍和Google保安的梅塔(Neel Mehta)在上周發現。芬蘭團隊是在改善公司旗下Defensics電腦防護軟件的SafeGuard功能期間知悉，而梅塔則是首名向「OpenSSL」研究隊伍通報漏洞的人。

Google雅虎fb中招　即時修復

上述研究人員在周一公布發現漏洞。《紐約時報》指漏洞涉及全球2/3網站，Google、facebook、雅虎和亞馬遜網上服務等科技巨擘紛紛宣布正在或已經修復問題。科技網站Ars Technica表示，其保安研究員成功利用免費工具，從雅虎電郵竊取資料，雅虎承認網站容易中招，但強調及後已修補旗下各項程式。

研究人員將今次漏洞命名為「心臟出血」，原因是它與「OpenSSL」系統一項名為「心跳」的功能有關。「OpenSSL」系統是處理互聯網SSL加密格式的其一最常見程式庫，其「心跳」功能容許黑客向社交和金融服務網站的伺服器送出惡意信息，從而騙取對方泄露機密信息(見另稿)。

Codenomicon行政總裁David Chartier形容這是嚴重漏洞：「不懷好意者可進入電腦儲存，竊取加密鑰匙、用戶名稱、密碼和有價值的知識產權，而且不會留下任何痕�[。除非黑客向你勒索，或在網上發布你的資訊，或盜取並利用貿易秘密，你不會知道你有否中招。」

LastPass總裁Joe Siegrist則形容，漏洞可怕之處，在於不知道各公司有什麼信息被竊，亦不知道漏洞被發現前遭黑客利用了多久。《紐約時報》引述保安專家稱，有證據顯示部分黑客知道漏洞存在，並曾利用過它竊取資料。

應盡快更新　修改密碼要謹慎

網絡保安專家指出，相關網站擁有者應盡快將現時採用的「OpenSSL」系統升級。不過建議用戶等待，別急�蚗H便修改密碼，因為若在尚未修復的網站上修改密碼，或令新密碼為黑客知悉，因此建議用戶先到https://www.ssllabs.com/ssltest/ 網站輸入網址，以求證相關網站是否已經修復問題。本報測試了香港匯豐銀行、�琤芼�行、中銀香港、惠康「惠康為您送」網上購物網站和繳費靈等涉及銀行戶口和網上交易的網站，全部已經更新了程式，不再受今次漏洞影響。