4月8日，常用于電商、支付類接口等安全性極高網(wǎng)站的網(wǎng)絡(luò)安全協(xié)議OpenSSL被曝存在高危漏洞，眾多使用https的網(wǎng)站均受影響，大量用戶信息陷于“裸奔”，引發(fā)網(wǎng)民恐慌。記者采訪了解到，在網(wǎng)站和安全廠商的協(xié)作下，三分之一受影響的網(wǎng)站已完成修復(fù)，使眾多網(wǎng)友陷入恐慌的“心臟失血”正趨于可控。

　　互聯(lián)網(wǎng)被曝“心臟出血”

　　4月8日，網(wǎng)絡(luò)安全協(xié)議OpenSSL被曝存在堪稱“心臟出血”的高危漏洞。

　　據(jù)了解，SSL是一種加密技術(shù)，可以保護(hù)用戶通過互聯(lián)網(wǎng)傳輸?shù)碾[私信息。據(jù)悉，目前多數(shù)SSL加密的網(wǎng)站都是用名為OpenSSL的軟件包，此次OpenSSL被曝的漏洞可以讓攻擊者獲得服務(wù)器上64K內(nèi)存中的數(shù)據(jù)，其中可能包括安全證書、用戶名和密碼等敏感信息。

　　關(guān)于此次漏洞的嚴(yán)重性，北京知道創(chuàng)宇信息技術(shù)有限公司研究部總監(jiān)余弦表示，OpenSSL協(xié)議常用于安全性極高的網(wǎng)站，此漏洞一旦被惡意利用，用戶登陸這些電商、網(wǎng)銀的賬戶、密碼等關(guān)鍵信息都將面臨泄露風(fēng)險(xiǎn)。

　　余弦告訴記者，大量使用https的網(wǎng)站將受到影響，而且越是知名的大網(wǎng)站，越容易受到不法分子攻擊。監(jiān)測發(fā)現(xiàn)，在中國境內(nèi)的160余萬臺服務(wù)器中，有33303臺受到這一漏洞影響，盡管占比不大，但這3萬多臺服務(wù)器分布在支付類接口系統(tǒng)、大型電商網(wǎng)站、即時(shí)通訊系統(tǒng)和郵箱這些最重要的網(wǎng)絡(luò)服務(wù)器中，其影響范圍包括常用的網(wǎng)銀及諸多知名網(wǎng)站，微信、支付寶、陌陌等均在其列。

　　面對此次被稱為“心臟出血”的高危漏洞，中國計(jì)算機(jī)學(xué)會計(jì)算機(jī)安全專業(yè)委員會主任嚴(yán)明說，這個(gè)漏洞是地震級別的，就像家里的門很堅(jiān)固也鎖好了，但是發(fā)現(xiàn)窗戶虛掩著。

　　業(yè)內(nèi)人士：部分信息已經(jīng)被竊

　　南京翰海源信息技術(shù)有限公司創(chuàng)始人方興表示，此漏洞并不是因?yàn)樗惴ū还テ疲怯捎诔绦騿T在設(shè)計(jì)時(shí)沒有做長度檢查而產(chǎn)生漏洞，其危害性不容小覷。

　　余弦告訴記者，該漏洞并不一定導(dǎo)致用戶數(shù)據(jù)泄露，因?yàn)樵撀┒粗荒軓膬?nèi)存中讀取64K的數(shù)據(jù)，而重要信息正好落在這個(gè)可讀取的64K中的幾率并不大，但是攻擊者可以不斷批量地去獲取最新的64K記錄，這樣就可以得到盡可能多的用戶隱私信息。一位安全行業(yè)人士透露，他在某著名電商網(wǎng)站上用這個(gè)漏洞嘗試讀取數(shù)據(jù)，在讀取200次后，獲得了40多個(gè)用戶名、7個(gè)密碼，用這些密碼，他成功地登錄了該網(wǎng)站。

　　余弦坦言，問題在于這個(gè)漏洞出現(xiàn)于2012年，至今兩年多，誰也不知道是否已經(jīng)有黑客利用漏洞獲取了用戶資料；該漏洞即使被入侵也不會在服務(wù)器日志中留下痕跡，所以目前還沒有辦法確認(rèn)哪些服務(wù)器被入侵，也就沒法定位損失、確認(rèn)泄露信息。

　　目前看來，該漏洞確已被很多黑客利用。網(wǎng)絡(luò)安全領(lǐng)域資深人士透露，由于OpenSSL漏洞的出現(xiàn)，在8日、9日地下交易市場中，各種兜售非法數(shù)據(jù)的交易顯得異常火爆，比如一份某省工程類人員的信息數(shù)據(jù)，清晰顯示出大量人員的姓名、身份證號碼等。北京知道創(chuàng)宇信息技術(shù)有限公司首席執(zhí)行官楊冀龍說，目前的監(jiān)測顯示，某寶的網(wǎng)站被黑客盜取了1T的內(nèi)存，雅虎郵箱的大量賬戶密碼也曝已經(jīng)泄露。

　　三分之一服務(wù)器完成修補(bǔ)

　　面對“地震級”漏洞，各網(wǎng)站和安全廠商均采取緊急措施，目前整體形勢已趨于可控。

　　知道創(chuàng)宇公司持續(xù)在線監(jiān)測情況顯示，大部分公司已有所行動，如360、百度等公司在升級OpenSSL，微信已暫停SSL服務(wù)，有的網(wǎng)站為規(guī)避風(fēng)險(xiǎn)，干脆暫停全部服務(wù)。

　　據(jù)了解，截至9日晚，國內(nèi)12305鐵路客戶服務(wù)中心、微信公眾號、支付寶、淘寶網(wǎng)、360應(yīng)用、陌陌、雅虎、QQ郵箱、微信網(wǎng)頁版、比特幣中國、雅虎、知乎等網(wǎng)站的漏洞已經(jīng)修復(fù)完畢。

　　知道創(chuàng)宇公司工作人員表示，由于這些大的互聯(lián)網(wǎng)廠商和運(yùn)營商服務(wù)器比較多，他們一修補(bǔ)，我國受到影響的服務(wù)器三分之一已完成了修補(bǔ)，整體情況趨于可控。

　　楊冀龍建議，在相關(guān)網(wǎng)站升級修復(fù)前，建議暫且不要登陸網(wǎng)購、網(wǎng)銀賬戶，尤其是對那些沒有明確采取補(bǔ)救措施的網(wǎng)站，更應(yīng)該謹(jǐn)慎避免泄密風(fēng)險(xiǎn)。對于一些已經(jīng)完成升級的網(wǎng)站，用戶應(yīng)當(dāng)盡快登陸網(wǎng)站更改自己的密碼等重要信息。

　　專家指出，即使用戶之前登陸的網(wǎng)站發(fā)生泄密，因?yàn)楹诳驼莆盏馁~號密碼的數(shù)量龐大，短時(shí)間內(nèi)無法消化使用，所以對于單個(gè)用戶而言盡快更改密碼設(shè)置是非常必要的。但是，對于一些郵箱類網(wǎng)站，即使更改密碼可能也無濟(jì)于事，因?yàn)槿绻诳鸵呀?jīng)偷走了cookie緩存，用這個(gè)可以直接登錄郵箱。建議用戶對郵箱再登陸一次，然后點(diǎn)擊退出登陸，減少風(fēng)險(xiǎn)。

關(guān)鍵詞：互聯(lián)網(wǎng),心臟出血,漏洞