最近SSL安全漏洞“心脏流血(Heartbleed)”已经威胁到了很多网民的个人信息和账户安全,多家网络及社交媒体中招让网民信息岌岌可危。英雄联盟开发商拳头也彻查了自己的所有服务器,所幸没有受到“Heartbleed”影响,但拳头仍建议各位召唤师更换帐号密码,申请邮箱验证来增强自己帐号的安全性。以下为拳头公告原文翻译:
最近大家都在讨论“Heartbleed”SSL安全漏洞,Heartbleed已经横扫了很多网站。我们深入检查了所有英雄联盟服务器,我们很高兴的通知大家,没有任何一个玩家的信息和数据因为“Heartbleed”而泄漏。
但是,部分玩家将他们的英雄联盟帐号密码用来登录其他网站,介于我们无法判断其他网站是否受到“Heartbleed”漏洞的影响,所以部分玩家的帐号可能已经被威胁到。
为了安全起见,我们强烈建议所有英雄联盟玩家更换自己的账户密码。另外,尽可能通过验证帐号邮箱来增加帐号的安全性。
如往常一样,每次更新我们都一直致力于保护各位玩家的帐号安全和个人信息不被泄漏。
关于心脏流血漏洞
心脏流血漏洞(Heartbleed bug),也简称为心血漏洞,是一个出现在开源加密库OpenSSL的程序错误,可允许攻击者读取服务器或客户端的内存信息,从而获得如服务器SSL私钥之类的信息。当用户使用类似于Facebook或Gmail等用户认为安全的网站发送信息时,对端计算机需要了解另一端的计算机是否仍然在线,所以他们会发出一个被称为“心脏跳动”(Heartbeat) 的小型数据包,请求对方响应,如果另一端计算机也在线,他们就会使用内存中储存的信息做出响应。通过向存在漏洞的目标发送畸形的Heartbeat请求,攻击者能够诱使对方使用内存中的敏感数据作出回应,从而获得信用卡密码,私人邮件等有价值的信息。对审计日志的检查似乎表明,在它被发现和公开之前,一些攻击者可能已经利用了该漏洞,持续时间至少达五个月。