4月8日，網絡安全協議OpenSSL被曝發現嚴重安全漏洞，諸多公眾熟知的電商、支付類接口、社交、門戶網站瞬間處于“裸奔”狀態，大量網民信息面臨泄密風險。互聯網“心臟出血”還將持續多久？危害究竟多大？普通用戶在此時此刻應當做些什么？新華社記者就此進行了調查。

　　“地震級”網絡災難降臨“心臟出血”搶修進行中

　　4月8日，在微軟XP操作系統正式停服同一天，互聯網筑墻被劃出一道致命的裂口——常用于電商、支付類接口等安全性極高網站的網絡安全協議OpenSSL被曝存在高危漏洞，眾多使用https的網站均可能受到影響。

　　一些人對漏洞嚴重性還在盲目樂觀時，業界知名“白帽子”、北京知道創宇信息技術有限公司研究部總監余弦指出，此漏洞一旦被惡意利用，用戶登錄這些電商、支付類接口的賬戶、密碼等關鍵信息都將面臨泄露風險。包括公眾熟知并且經常訪問的微信、淘寶、一些支付類接口、社交、門戶等知名網站均受到影響，而且越是知名高的網站，越容易受到不法分子的攻擊。

　　在余弦的電腦屏幕上，網絡安全分析系統掃描顯示，在中國境內的160余萬臺服務器中，有33303臺受到這一漏洞影響。蘇寧、盛大、網易、搜狗、唯品會、比特幣中國、微信、豌豆莢……一個個網民常用的甚至依賴的網站紛紛“躺槍”。

　　余弦告訴記者，這3萬多臺服務器分布在支付類接口系統、大型電商網站、即時通訊系統和郵箱等這些最重要的網絡服務器中。

　　8日晚，余弦和他的團隊守在電腦屏幕前徹夜未眠，安全保衛者們敲擊鍵盤的噼啪聲一夜未斷。不僅余弦，360、京東、微信、支付寶等公司的技術團隊也徹夜奮戰，和黑客們開展起了一場“你盜我堵”的賽跑，在黑客竊取更多用戶數據前趕緊予以修復。

　　“狼來了”：數據已發生泄露

　　南京翰海源信息技術有限公司創始人方興指出：此漏洞事實上非常簡單，并不是因為算法被攻破，而是由于程序員在設計時沒有做長度檢查而產生的內在泄露漏洞。

　　“新生程序員時常會犯這樣的錯誤。”知道創宇首席執行官楊冀龍如此看待這一問題。

　　“打個形象的比喻，就像家里的門很堅固也鎖好了，但是發現窗戶虛掩著。”中國計算機學會計算機安全專業委員會主任嚴明說，這個漏洞是地震級別的。

　　知道創宇公司持續在線監測情況顯示，雖然大部分公司已有所行動，但仍有部分涉及機構動作遲緩。截至9日晚，知道創宇公司通過監測ZoomEye實時掃描數據分析發現，國內12306鐵路客戶服務中心、微信公眾號、支付寶、淘寶網、360應用、陌陌、雅虎、QQ郵箱、微信網頁版、比特幣中國、雅虎、知乎等網站的漏洞已經修復完畢。但還有一些網站沒有完成修復。

　　余弦告訴記者，該漏洞并不一定導致用戶數據泄露，因為該漏洞只能從內存中讀取64K的數據，而重要信息正好落在這個可讀取的64K中的幾率并不大，但是攻擊者可以不斷批量地去獲取這最新的64K記錄，這樣就很大程度上可以得到盡可能多的用戶隱私信息。

　　一位安全行業人士透露，他在某著名電商網站上用這個漏洞嘗試讀取數據，在讀取200次后，獲得了40多個用戶名、7個密碼，用這些密碼，他成功地登錄了該網站。　

　　 威脅還長期潛伏

　　余弦坦言，問題在于這個漏洞實際出現在2012年。兩年多來，誰也不知道是否已經有黑客利用漏洞獲取了用戶資料；由于該漏洞即使被入侵也不會在服務器日志中留下痕跡，所以目前還沒有辦法確認哪些服務器被入侵過，也就沒法定位損失、確認泄露信息。

　　目前看來，該漏洞確已被很多黑客利用。網絡安全領域資深人士透露，由于OpenSSL漏洞的出現，8日、9日的地下交易市場中，各種兜售非法數據的交易顯得異常火爆，比如一份某省工程類人員的信息數據，該信息清晰顯示出大量人員的姓名、身份證號碼等。

　　記者采訪了解到，安全協議OpenSSL最新漏洞的影響仍在持續發酵，截至目前仍有許多網站尚未完成漏洞修復。

　　楊冀龍建議，在相關網站升級修復前，建議暫且不要登錄網購、支付類接口賬戶，尤其是對那些沒有明確采取補救措施的網站，更應該謹慎避免泄密風險。對于一些已經完成升級的網站，用戶應當盡快登錄網站更改自己的密碼等重要信息。

　　安全人士指出，即使用戶之前登錄的網站發生了泄密，因為黑客掌握的賬號密碼數量龐大，短時間內無法消化使用，所以對于單個用戶而言盡快更改密碼設置是非常必要的。但是，對于一些郵箱類網站，則需再登錄郵箱一次，然后點擊退出登錄，因為黑客利用cookie緩存可直接登錄。

關鍵詞：互聯網,漏洞,安全