已有駭客成功藉由「心在淌血」（Heartbleed）取得伺服器金鑰

圖片引用來源：HeartBleed OpenSSL 漏洞說明網頁；原文引用來源：The Verge（已確認 SSL 金鑰有被盜取風險、傳 NSA 早已知道漏洞存在多時）、Cloudflare 挑戰頁面

早先 Cloudflare 這家雲端 CDN 代理商跳出來，宣稱 OpenSSL 軟體漏洞「心在淌血」（Heartbleed）可能不會造成如此大的影響，因為他們家在經過兩週的測試後，並無法從中取得網頁伺服器的私有 SSL 金鑰，於是下結論表示要取得金鑰，理論上應該是不太可能的，隨後甚至在網路上對白帽駭客社群下戰書，最終結果則是...被打臉了 有人成功了，目前至少有兩名白帽駭客（Fedor Indutny 及 Ilkka Mattila）成功取得金鑰。

Just cracked @CloudFlare ’s challenge: https://t.co/8ZPSxyKF4D . I wonder when they’ll update the page.

— Fedor Indutny (@indutny) April 11, 2014

這樣的結果不僅代表 Cloudflare 的判斷是錯誤的，另一方面也顯示「心在淌血」確實相當有可能會造成很多問題，而若金鑰遭竊，網路服務提供者就必須更新安全憑證，才有辦法阻止有心人士進一步竊取個資、密碼。

另外稍早《彭博社》（Bloomberg）指出美國國家安全局（NSA）早就知道「心在淌血」的存在，並且已經利用其來進行監控相當長一段時間，但隨即被 NSA 否認，表示他們也是看了報紙才知道的 NSA 方面表示他們在「心在淌血」公開後，才知道這個漏洞的存在。

Statement: NSA was not aware of the recently identified Heartbleed vulnerability until it was made public.

— NSA/CSS (@NSA_PAO) April 11, 2014

Reports that NSA or any other part of the govt were aware of the so-called #Heartbleed bug before Apr 14 are wrong: http://t.co/JhqVQOMDvE

— IC on the Record (@icontherecord) April 11, 2014

相關閱讀：

• 「心在淌血」（HeartBleed）影響部份 Cisco、Juniper 設備，另外蘋果方面說一切無礙...
• 「心在淌血」（HeartBleed）OpenSSL 漏洞全美主要網路服務處理現況...
• 最新 OpenSSL 漏洞讓網路服務商「內心淌血」...  

延伸閱讀：

• 不能保證但依然可以嘗試的一鍵 Root APP
• 看各種第四台最方便的Android App
• 簡單超有質感的 Android 收聽音樂 APP：豆瓣FM