2014年4月15日,依靠WIPO账户的所有WIPO服务(包括ePCT以及各种马德里和海牙在线服务)用户应当收到电子邮件,要求他们重置密码。以下是关于“Heartbleed”安全漏洞的有关说明。
WIPO的一些系统使用了受“Heartbleed”漏洞影响的OpenSSL版本。我们一收到警告,立即对我们的各个系统进行了修补,更换了服务器证书,以防漏洞被人利用。
我们没有任何证据显示有任何用户信息已遭泄露,但是用户名和密码仍有可能在服务器被修补前已被窃取。
我们的服务器于2014年4月10日得到了修补。一些执行较敏感处理且仅使用用户名和密码的服务(包括ePCT公共服务、仲裁与调解中心的各项应用)在随后的周末下线,直到我们可以进行强制密码重置,此项工作已于4月15日进行。应当指出,因为数字证书增加了安全性,我们相信ePCT私密服务依然安全,因此这些服务一直可用。
如果你未收到要求更改密码的电子邮件,或者不愿点击未经请求的邮件中的链接,可以进入登录页面,点击可在文中找到的链接,开始更改密码。这将带你进入一个页面,开始密码重置程序,之后将发给你一封带有专用链接的邮件。如果电子邮件未出现,请检查垃圾邮件文件夹。
如果仍然无法更改密码或登录,请联系WIPO客户服务。
自服务器更新以来,我们收到了一些Internet Explorer 11用户的报告,称无法使用某些服务。我们正在调查这个问题,但目前只能建议,如果你受到影响,请使用其他浏览器,直到原因查明。
PCT-SAFE软件包含一个引起“Heartbleed”的相同OpenSSL库副本。我们的分析结果是,由于PCT-SAFE不使用存在问题的特定服务,因此该漏洞不能被用来攻击PCT-SAFE。尽管如此,我们还是在4月17日发布了该软件的一个新版本。
我们对造成的任何不便表示歉意。我们所采取的预防措施符合“Heartbleed”被发现之后不断发展的信通技术最佳做法。WIPO对其各项应用和商业服务的安全性给予最高级别的重视。