「心在淌血」漏洞 美暗中情蒐两年

小花尔

彭博新闻社指美国国安局两年前早已知道「心在淌血」电脑保安漏洞。图为国安局内部情形。（法新社）

加拿大国税部因为「心在淌血」（Heartbleed）安全漏洞而暂停网上报税，到目前仍未恢復，有消息指出，美国国家安全局（National Security Agency NSA）早在两年已经知道漏洞，但却定期利用来收集机密情报。

目前全球三分二网站广泛使用的OpenSSL加密软件，本月8日给研究人员揭发出现被称为「心在淌血」 的保安漏洞后，即时引起全球关注及恐慌，除了让使用网路处理财务的网民即时修改密码外，加拿大国税部也即时停上网上报税。

而彭博新闻社引述两名不愿公开身分的消息人士指出，OpenSSL 加密软件出现保安漏洞，美国国安局最低限度已经知道两年，但一直秘而不宣，反而将计就计利用这个漏洞发动攻击，窃取密码和其他机密情报。

消息指，NSA除了藉 Heartbleed 漏洞窃取他人的密码及资料，亦可以堵塞漏洞加强本身数据库的加密安全，防止黑客入侵，相反全球数以亿计的普通使用者则门户大开，让其他国家的情报机关及黑客轻易政击及入侵。

对于彭博有关报导，白宫、国安局和国家情报局迅速作出反应，分别发表声明否认有关说法。

国安局女发言人瓦因斯（Vanee Vines）表示：「在这个消息公开之前，国安局不知道OpenSSL出现保安问题。」

白宫国家安全委员发言人海登（Caitlin Hayden）回应道：「有关国安局和其他政府部门在2014年4月之前已经知道所谓『心在淌血』的问题是完全不确的。」强调美国政府认真地承担责任，协助维持开放、互用、安全和可靠的互联网空间。

海登又说，美国联邦政府也是使用OpenSSL软件保护政府网站用户及其他网上服务客户的私隐。如果联邦政府及情报机构一早知有保安漏洞存在，早已知会负责的人员，而不是把消息隐瞒调查，或为了达到收集情报的目的。