谣传5: 因为“心脏出血”我们所有的银行都会被撬开 安全问题是严重的,但是它不能撬开虚拟金库。实际上,美国的银行业的技术负责人们报告银行基本上不受影响。 这些公司宣称他们不使用OpenSSL,因此他们也不存在风险:Bank of America Capital One Financial,JPMorgan Chase,Citigroup,TD Bank,U.S. Bancorp,Wells Fargo,PNC Financial Services Group。 当然,有许多的银行和信用机构没有在上面的名单中,这也就是为什么联邦金融调查委员会(Federal Financial Institutions Examination Council (FFIEC))催促“金融机构应该尽快给他们使用OpenSSL的服务器,系统及其应用打补丁,以应对所带来的风险”。 此外,CNET的对一些高授权网站的调查显示PayPal没有受到“心脏出血”的影响,还有那些大型零售商,人们将自己的借记卡或信用卡信息存在那儿也不会收到多大影响。比如:Amazon.com,eBay,Groupon,Target,TripAdvisor,Walmart。 (看起来,他们从去年年底的巨大的安全漏洞中学到了很多。) “心脏出血”缺陷不能用来直接撬开银行或者获取大型零售商系统上的信息,然而,不能因为这些站点和账户没有受患于这些黑客,就认为他们完全没有风险。
谣传6:我的站点或服务器没有风险或者打了补丁,我现在就是安全的。 这样说是不确切的。“心脏出血”是隐伏的且不留痕迹的。这意味着没有办法告诉你,你的信息已经被偷。所以仍然存在风险。如果你的登录信息被存储或者被发送 到其他地方,这就是一个缺口。这里归结了几个方法:你最好去那些受到影响的网站修改你的密码,但是要在他们打完补丁之后。除此之外,要确保在他们升级完程 序之后,你最好检查你的信用卡,账户状态以及线上行为记录没有出现非官方的条目。
谣传7:NSA用“心脏出血”窃取我们的信息 引述未具名消息人士,彭博社(Bloomberg)指责国家安全局(National Security Agency)早已知晓“心脏出血”却没有公布。但是,这不是全部。NSA不是简单的意识到这个bug,还涉嫌利用这个漏洞长达两年的时间。 鉴于“棱镜项目”,这很容易就被相信了。甚至在彭博社指责之前,NSA就高度被怀疑。那个时候,微博上就有大量质疑声。就好像齐声在说“NSA肯定涉及了此事”。 但是NSA断然否认了此事。该机构说他们没有这样做,而且宣布对于这一漏洞是之前就存在是完全不知晓的。 没有办法知道NSA是否诚实,而且该机构的的可信度确实不高。但是,也没有证据说他们利用“心脏出血”去监视。因此,就目前而言,这个谣言是站不住脚的。 很难想象任何联邦的官方机构没有意识到这么严重的安全漏洞。但是,这也并不是没有可能。就拿加拿大税务局(Canada Revenue Agency)来说,这个政府机构一直使用OpenSSL,现在他们已经临时关闭了他们的部分网站服务器。而下周就是加拿大报税的截止日期。 你还听说了哪些关于“心脏出血”的谣传,让我们来一一揭穿他吧。 (via:readwrite) 翻译:无若 |
