互聯(lián)網(wǎng)“心臟出血”電商網(wǎng)銀遭受威脅

阿里京東已修復(fù) 用戶需修改密碼

4月8日外媒爆出，研究人員發(fā)現(xiàn)OpenSSL漏洞遍及全球互聯(lián)網(wǎng)公司，并為其起了個形象的名字“心臟出血”，中國超過3萬臺主機受波及，國內(nèi)網(wǎng)站和安全廠商技術(shù)人員為檢查、搶修徹夜未眠。截至昨天，有超30%的主機已經(jīng)修復(fù)，“大站”紛紛表示安全，但技術(shù)人士稱，消費者敏感信息是否泄露還有待日后觀察。

京華時報記者廖豐古曉宇祝劍禾顧夢琳高晨京華時報制圖何將

□事件

OpenSSL漏洞曝光

4月8日，OpenSSL的大漏洞曝光，外國黑客將其命名為“heartbleed”，用最致命的內(nèi)傷“心臟出血”描述事件的嚴(yán)重性。該漏洞是由Codenomicon和谷歌安全部門的研究人員獨立發(fā)現(xiàn)的。不過據(jù)外媒報道，為了將影響降到最低，研究人員已經(jīng)與OpenSSL團隊和其他關(guān)鍵的內(nèi)部人士展開了合作，在公布該問題前就已經(jīng)準(zhǔn)備好修復(fù)方案。

OpenSSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議，各大網(wǎng)銀、在線支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件等重要網(wǎng)站上廣泛使用。知道創(chuàng)宇網(wǎng)站安全部總監(jiān)余弦將OpenSSL形容為“互聯(lián)網(wǎng)上銷量最大的門鎖”。此次爆出的這個漏洞，則讓特定版本的OpenSSL成為無需鑰匙即可開啟的廢鎖，入侵者每次可以翻檢戶主的64K信息，只要有足夠的耐心和時間，他可以翻檢足夠多的數(shù)據(jù)，拼湊出戶主的銀行密碼、私信等敏感數(shù)據(jù)。

“簡單識別網(wǎng)站應(yīng)用是否采用SSL加密，只需要看瀏覽器地址欄是http，還是https，后者就是用SSL加密的。通常是非常關(guān)鍵的網(wǎng)絡(luò)服務(wù)，比如郵箱、支付、銀行?！苯鹕蕉景园踩珜＜依铊F軍說。

“有這樣千載難逢的機會，黑客們是舍不得睡覺的。他們會想盡辦法多獲取一些服務(wù)器上的信息?！?60公司技術(shù)副總裁譚曉生說。