互聯(lián)網(wǎng)巨頭稱(chēng)已升級(jí)系統(tǒng)修復(fù)漏洞

　　網(wǎng)購(gòu)、信息登記、社交……如今,我們的日常生活離不開(kāi)互聯(lián)網(wǎng),但有可能,過(guò)去兩年里,黑客可以利用通過(guò)安全漏洞多次盜取我們的用戶(hù)登錄賬號(hào)密碼。4月8日晚,安全協(xié)議OpenSSL爆出本年度最嚴(yán)重的安全漏洞。該安全漏洞被業(yè)內(nèi)稱(chēng)為“心臟流血”。有媒體報(bào)道稱(chēng),已經(jīng)存在了大約兩年了,隨后昨日國(guó)內(nèi)各大廠商、互聯(lián)網(wǎng)企業(yè)聞風(fēng)而動(dòng),采取了堵漏洞等相關(guān)安全措施。

 

　　可遠(yuǎn)程盜取用戶(hù)賬戶(hù)密碼

　　據(jù)了解,OpenSSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議,囊括了主要的密碼算法、常用的密鑰和證書(shū)封裝管理功能以及SSL協(xié)議,目前正在各大網(wǎng)銀、在線支付、電商網(wǎng)站、門(mén)戶(hù)網(wǎng)站、電子郵件等重要網(wǎng)站上廣泛使用。該漏洞是由安全公司Codenomicon和谷歌安全工程師發(fā)現(xiàn)的,并提交給相關(guān)管理機(jī)構(gòu)。

　　安全專(zhuān)家指出,SSL是一種流行的加密技術(shù),可以保護(hù)用戶(hù)通過(guò)互聯(lián)網(wǎng)傳輸?shù)碾[私信息。它好比互聯(lián)網(wǎng)上銷(xiāo)量最大的門(mén)鎖。它可以允許處于SSL連接一端的電腦發(fā)送短信息,確認(rèn)另一臺(tái)電腦仍然在線,并給與回應(yīng)。但通過(guò)被曝光的漏洞,黑客可以通過(guò)巧妙的手段發(fā)出惡意心跳信息,欺騙另一端的電腦泄露機(jī)密信息。

　　金山毒霸安全專(zhuān)家李鐵軍表示,這個(gè)漏洞使黑客可以遠(yuǎn)程讀取https服務(wù)器的隨機(jī)64KB內(nèi)存,“只要這個(gè)黑客有耐心多捕獲多分析那些64KB的數(shù)據(jù),用戶(hù)訪問(wèn)網(wǎng)站的cookies、SSL私鑰、賬號(hào)密碼,這些數(shù)據(jù)全都可能被黑客遠(yuǎn)程讀取到。”

　　一位安全行業(yè)人士在網(wǎng)絡(luò)問(wèn)答社區(qū)知乎上透露,他在某著名電商網(wǎng)站上用這個(gè)漏洞嘗試讀取數(shù)據(jù),在讀取200次后,獲得了40多個(gè)用戶(hù)名、7個(gè)密碼,用這些密碼,他成功地登錄了該網(wǎng)站。

　　“OpenSSL漏洞堪稱(chēng)網(wǎng)絡(luò)核彈,”360安全專(zhuān)家石曉虹表示,無(wú)論用戶(hù)電腦多么安全,只要網(wǎng)站使用了存在漏洞的OpenSSL版本,用戶(hù)登錄該網(wǎng)站時(shí)就可能被黑客實(shí)時(shí)監(jiān)控到登錄賬號(hào)和密碼。“建議廣大網(wǎng)友,在此漏洞得到修復(fù)前,暫時(shí)不要在受到漏洞影響的網(wǎng)站上登錄賬號(hào)。”

 

　　約2億網(wǎng)民受波及

　　據(jù)悉,OpenSSL在今年4月7日推出了OpenSSL 1.01g,修復(fù)了這個(gè)漏洞。但據(jù)360網(wǎng)站安全檢測(cè)平臺(tái)昨日對(duì)國(guó)內(nèi)120萬(wàn)家經(jīng)過(guò)授權(quán)的網(wǎng)站掃描,有11440個(gè)網(wǎng)站主機(jī)受OpenSSL“心臟出血”漏洞影響。另?yè)?jù)多個(gè)流量監(jiān)測(cè)機(jī)構(gòu)數(shù)據(jù)推算,4月7日、4月8日,共計(jì)約2億網(wǎng)友訪問(wèn)了存在OpenSSL漏洞的網(wǎng)站。

　　更為麻煩的是,這個(gè)漏洞實(shí)際上出現(xiàn)于2012年,至今兩年多。這意味著,誰(shuí)也不知道是否已經(jīng)有黑客利用漏洞獲取了用戶(hù)資料;而且由于該漏洞即使被入侵也不會(huì)在服務(wù)器日志中留下痕跡,所以目前還沒(méi)有辦法確認(rèn)哪些服務(wù)器被入侵,也就沒(méi)法定位損失、確認(rèn)泄漏信息,從而通知用戶(hù)進(jìn)行補(bǔ)救。

 

　　各大網(wǎng)站和黑客斗快

　　據(jù)媒體報(bào)道,這個(gè)漏洞被曝出來(lái)后,全球黑客們已經(jīng)紛紛出動(dòng),不停試探各類(lèi)服務(wù)器,試圖從漏洞中抓取到盡量多的用戶(hù)敏感數(shù)據(jù)。因此,各大網(wǎng)站也爭(zhēng)分奪秒地升級(jí)系統(tǒng)、彌補(bǔ)漏洞。

　　對(duì)于用戶(hù)量較多的騰訊和阿里,兩大互聯(lián)網(wǎng)巨頭昨日分別在回復(fù)新快報(bào)記者的聲明中均表示,已第一時(shí)間進(jìn)行了修復(fù)處理,目前如QQ、微信、支付寶等均可以安全使用。京東方面也表示,系統(tǒng)已全面排查并升級(jí),可以避免這次漏洞的侵襲。

　　根據(jù)安全分析系統(tǒng)ZoomEye的檢測(cè)報(bào)告,截至昨日20點(diǎn)11分,中國(guó)12個(gè)受影響大站列表中,僅剩YY某服務(wù)仍顯示未修復(fù)狀態(tài),其余如微信公眾號(hào)、QQ郵箱、支付寶、陌陌、比特幣中國(guó)等網(wǎng)站均已完成修復(fù)。

 

　　中國(guó)受影響大站列表

 

　　12306鐵路客戶(hù)服務(wù)中心

 

　　微信公眾號(hào)

 

　　微信網(wǎng)頁(yè)版

 

　　QQ郵箱

 

　　陌陌

 

　　雅虎

 

　　比特幣中國(guó)

 

　　支付寶

 

　　知乎

 

　　淘寶網(wǎng)

 

　　360應(yīng)用

 

　　YY某服務(wù)

 

　　注:據(jù)ZoomEye的檢測(cè)報(bào)告,截至昨日22點(diǎn),除YY某服務(wù)仍顯示未修復(fù)狀態(tài),上述網(wǎng)站均已修復(fù)。

 

　　1

　　普通網(wǎng)民可以做這些:注意觀察相關(guān)事件進(jìn)展,目前尚無(wú)法準(zhǔn)確評(píng)估黑客利用OpenSSL漏洞獲得了多少數(shù)據(jù)。

　　2

　　對(duì)重要服務(wù),盡可能開(kāi)通手機(jī)驗(yàn)證或動(dòng)態(tài)密碼,比如支付寶、郵箱等,登錄重要服務(wù),不僅僅需要驗(yàn)證用戶(hù)名密碼,最好綁定手機(jī),加手機(jī)驗(yàn)證碼登錄。這樣就算黑客拿到賬戶(hù)密碼,登錄還有另一道門(mén)檻。

　　3

　　如果隨著事件進(jìn)展,可能受累及的網(wǎng)絡(luò)服務(wù)在增加或更明確,建議用戶(hù)修改重要服務(wù)的登錄密碼。安全專(zhuān)家的建議是,一個(gè)密碼的使用時(shí)間不宜過(guò)長(zhǎng),超過(guò)3個(gè)月就該換掉了。