“心臟出血(Heartbleed)”OpenSSL漏洞震驚了整個安全市場，如今，它的影響已經超出理論上的危險程度：有兩家企業報告稱他們已經因為該漏洞而遭受攻擊者攻擊。

[[111759]]

英國的一家育兒網站Mumsnet表示，他們最早聽說Heartbleed漏洞是在4月10日，也就是該漏洞曝光后的第三天，他們立即對所有服務器進行了測試。一旦檢測出易受攻擊的情況，Mumsnet網站就立即采用OpenSSL的修補版本，但是就在4月11日，攻擊者還是成功利用該漏洞訪問了Mumsnet網站用戶的賬戶數據。

上周末，Mumsnet網站決定強制其所有用戶重新設置了登陸信息，盡管Mumsnet并不確認有人把利用Heartbleed漏洞用于惡意目的。

Mumsnet表示：“攻擊者一旦利用了該漏洞，他就可以登陸你的賬號，瀏覽你的歷史記錄、個人信息、注冊信息等，盡管目前我們還沒有證據證明有用戶的賬戶信息被用于惡意目的，也不確定Mumsnet網站的哪些用戶受到該漏洞的影響。而最糟糕的情況是，攻擊者已經訪問了Mumsnet網站的所有用戶的賬戶數據。這也是我們要求所有用戶重置密碼的原因。”

另外，加拿大稅務局(CRA)在一份聲明中表示，有人利用Heartbleed漏洞，將大約900名納稅人的社會保險號碼從系統中刪除。其實，CRA在得知Heartbleed漏洞后就暫停了其網上稅務申報服務，但還是為時已晚。

CRA在應用了Heartbleed漏洞補丁并測試其系統安全性以后，于上周日重新推出了在線服務，但是CRA表示，漏洞的修補工作還會繼續。

CRA稱：“我們目前正在分析其它的數據信息，有一些涉及到企業的數據可能也已經被刪除了。盡管進行了嚴格的控制，我們還是成為眾多受到OpenSSL漏洞影響的企業之一，不過幸虧我們有加拿大服務共享局和其他安全合作伙伴的支持，在系統恢復之前，其它數據沒有被繼續泄露。此外，到目前為止的分析數據顯示，還沒有其它CRA機構數據泄露事件發生。”

這些Heartbleed漏洞利用足以顯示了攻擊者收集敏感信息的能力，但是，這個漏洞還有一個致命的問題：攻擊者可以利用該漏洞竊取SSL密鑰。

CloudFlare和Akamai已經發現Heartbleed漏洞的復雜性

兩家安全廠商已意識到Heartbleed漏洞問題的嚴重性，越來越多的安全專家也都表示，這是互聯網有史以來最廣泛的漏洞之一。

在上周的一篇博客中，總部位于舊金山的內容分發網絡公司CloudFlare修補了其基于早期披露的OpenSSL版本，試圖緩解Heartbleed漏洞容易導致密鑰數據泄露的問題，尤其是Nginx服務器。

CloudFlare的Nick Sullivan表示：“通過在我們的軟件堆棧上的嚴格測試，現在攻擊者已經無法再利用Heartbleed漏洞來竊取服務器上的密鑰數據。”

為了做這項測試，CloudFlare舉行了一場挑戰賽，在其Nginx服務器上設置了一個OpenSSL漏洞版本，讓挑戰者利用Heartbleed從服務器上竊取密鑰。在挑戰開始九小時以后，俄羅斯軟件工程師Fedor Indutny完成了任務，但是需要發送超過250萬個heartbeat請求。僅次于Indutny的是來自芬蘭的信息安全顧問Ilkka Mattila，但也需要發送十萬個請求。

Indutny隨后在其博客中發布了他利用Heartbleed漏洞的提取腳本，并指出，該漏洞不會立即產生嚴重后果。盡管該漏洞想被利用需要很長時間，CloudFlare還是根據該挑戰結果及時采取措施替換了管理用戶的SSL密鑰。

CloudFlare稱：“根據該報告的結果，我們的建議是，每個用戶都應該重發或撤銷其密鑰。”

另外，Akamai公司為了保護其客戶免受Heartbleed漏洞威脅，于上周末撤銷了之前發布的補丁。

意識到Heartbleed漏洞嚴重性后，Cambridge的廠商發布了一個內存分配工具，以防止SSL密鑰的泄露。但是，在上周日晚上的一篇博客中，Akamai的首席安全官(CSO)Andy Ellis表示，安全研究人員Willem Pinckaers與Akamai聯系并報告在其Heartbleed修復中有一個漏洞。

Ellis表示：“因此，我們已經開始處理所有用戶的SSL密鑰/認證，有一些認證可以很快處理完，但是有一些認證需要證書頒發機構額外的認證，可能耗時比較長。”