查看完整版本: 最近别网购！“心脏出血”漏洞引恐慌[1P]

最近别网购！“心脏出血”漏洞引恐慌[1P]

[size=4]　　8日晚，“黑客”迎来狂欢之夜，网络安全协议OpenSLL曝出安全漏洞，让他们借机肆意扫描网站数据库，用户登录电商、网银的账户、密码等关键信息可能会泄露，造成财产损失。黑客和安全保卫者正在进行“你盗我堵”的疯狂赛跑，在这一过程中，也暴露出我国在网络安全防护方面存在软肋。

[img]http://img.ithome.com/newsuploadfiles/2014/4/20140410_093803_806.jpg[/img]

　　网络地震来袭[/b]

　　微信淘宝网银均会受影响[/b]

　　一位安全行业人士在某著名电商网站上用这个漏洞尝试读取数据，在读取200次后，获得了40多个用户名、7个密码，用这些密码，他成功地登录了该网站

　　ZoomEye最新完成的扫描数据显示，全国160万个443端口中，已有3.3万个受本次OpenSSL漏洞影响。在国外，受到波及的网站也数不胜数，连NASA(美国航空航天局)也已宣布，用户数据库遭泄露。

　　一安全行业人士透露，他在某著名电商网站用这个漏洞尝试读取数据，读取200次后获得40多个用户名、7个密码，用这些密码，他成功地登录了该网站。

　　北京知道创宇信息技术有限公司研究部总监钟晨鸣表示，此次漏洞会影响为数众多的使用https的网站，其中包括公众熟知并且经常访问的微信、淘宝、各个网银、社交、门户等知名网站。而且越是知名的大网站，越容易受到不法分子利用漏洞进行攻击。

　　据介绍，这一漏洞的发现者们给这个漏洞起了个形象的名字：heartbleed——心脏出血。

　　“这个漏洞是地震级别的。”中国计算机学会信息安全专业委员会主任严明说，目前受害的用户具体数字还难以知晓，要到过后才能统计出来。“打个形象的比喻，就像家里的门很坚固也锁好了，但是发现窗户虚掩着。”

　　威胁长期存在[/b]

　　并非此次修复漏洞就安全[/b]

　　该漏洞即使被入侵也不会在服务器日志中留下痕迹，攻击者可以利用已获得的数据进行更大程度上的破坏

　　然而，很多公司并没认识到问题的重要性。北京知道创宇信息技术有限公司持续监测发现，一些机构升级了OpenSSL，如360、百度等；一些选择暂停SSL服务，仍继续使用其主要功能，如微信；有的为规避风险，干脆暂停网站全部服务；更有一部分根本没有采取任何措施。

　　钟晨鸣说，这个漏洞实际上出现于2012年，至今两年多，谁也不知道是否已有黑客利用漏洞获取了用户资料；而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹，所以目前还没办法确认哪些服务器被入侵，也就没法定位损失、确认泄漏信息，从而通知用户进行补救。

　　相对于当前可能出现的信息泄密和财产损失，方兴说，它的影响将是持久深远的，并不是此次修复漏洞后就安全了，攻击者还可以利用获得的数据进行更大程度上的破坏。

　　不过，电商企业纷纷表示未受到影响，或已修复处理完毕。其中，1号店方面表示，公司的技术人员4月8日已经充分评估过该漏洞对1号店系统的影响，目前1号店在线业务系统都是安全的，不受该漏洞的任何影响。阿里巴巴表示，旗下包括淘宝、天猫等电商平台并未受到事件波及。支付宝相关负责人向记者表示，并未受到安全漏洞影响。腾讯方面则称，目前相关的产品业务如邮箱、财付通、QQ、微信等都已经修复完毕，“大家可以放心使用。”

　　不过金山毒霸安全专家李铁军认为，目前尚无法准确评估黑客利用漏洞获得了多少数据，因此普通用户仍然需要小心为上。李铁军表示，对重要服务，尽可能开通手机验证或动态密码，比如支付宝、邮箱等，登录重要服务，不仅需要验证用户名密码，最好绑定手机，加手机验证码登录。李铁军还建议用户修改重要服务的登录密码，“一个密码的使用时间不宜过长，超过3个月就该换掉了。”

　　对于普通用户，安全领域专家建议[/b]，近日在相关网站升级修复前，建议暂且不要登录网购、网银账户，尤其是对那些没有明确采取补救措施的网站，更应该谨慎避免泄密风险。在网站完成修复升级后，及时修改密码，避免引发次生危害。

　　[/size]

前一段时间一群网络支付号称网络支付很安全，现在出现这种事，这算是打脸吗？我想这应该早就有了，只是没爆出来，现在搞得人心惶惶。

漏洞既然被暴露出来，那么数据丢失不是一天两天的事情了，大家还是抓紧改密码吧。