近日,代号"心脏出血"的重大网络漏洞被曝光,黑客借此获取前缀为"https"网站的账户密码!
微信、淘宝等支付、社交网站均受影响。业内人士建议,在网站修复前,暂不登录网购、支付类账户。
网站修复后,尽快改密码!
4月8日外媒爆出,研究人员发现OpenSSL漏洞遍及全球互联网公司,并为其起了个形象的名字“心脏出血”。大量用户信息陷于“裸奔”,引发网民恐慌。记者采访了解到,在网站和安全厂商的协作下,三分之一受影响的网站已完成修复 ,使众多网友陷入恐慌的“心脏失血”正趋于可控。
互联网被爆“心脏出血”
关于此次漏洞的严重性,北京知道创宇信息技术有限公司研究部总监余弦表示,OpenSSL协议常用于安全性极高的网站,此漏洞一旦被恶意利用,用户登录这些电商、网银的账户、密码等关键信息都将面临泄露风险。在余弦的电脑屏幕上,网络安全分析系统扫描显示,在中国境内的160余万台服务器中,有33303台受到这一漏洞影响。
面对此次被称为“心脏出血”的高危漏洞,中国计算机学会计算机安全专业委员会主任严明说,这个漏洞是地震级别的,就像家里的门很坚固也锁好了,但是发现窗户虚掩着。
三分之一服务器完成修补
面对“地震级”漏洞,各网站和安全厂商均采取紧急措施,目前整体形势已趋于可控。
知道创宇公司持续在线监测情况显示,大部分公司已有所行动,如360、百度等公司在升级OpenSSL,微信已暂停SSL服务,有的网站为规避风险,干脆暂停全部服务。
据了解,截至9日晚,国内12305铁路客户服务中心、微信公众号、支付宝、淘宝网、360应用、陌陌、雅虎、QQ 邮箱、微信网页版、比特币中国、雅虎、知乎等网站的漏洞已经修复完毕。
知道创宇公司工作人员表示,由于这些大的互联网厂商和运营商服务器比较多,他们一修补,我国受到影响的服务器三分之一已完成了修补,整体情况趋于可控。
专家指出,即使用户之前登录的网站发生泄密,因为黑客掌握的账号密码的数量庞大,短时间内无法消化使用,所以对于单个用户而言尽快更改密码设置是非常必要的。但是,对于一些邮箱类网站,即使更改密码可能也无济于事,因为如果黑客已经偷走了cookie缓存,用这个可以直接登录邮箱。建议用户对邮箱再登录一次,然后点击退出登录,减少风险。
漏洞可能泄露四方面内容
4月8日,常用于电商、网银等安全性极高网站的网络安全协议OpenSLL被爆出存在安全漏洞,危及全球包括银行、电商在内关键部门和普通用户财产和信息安全。这一漏洞一旦被恶意利用,意味着用户登录这些电商、网银的账户、密码等关键信息都将泄露。
据南京翰海源信息技术有限公司创始人方兴介绍,通俗来讲,通过这个漏洞,可以泄露以下四方面内容:一是私钥,所有https站点的加密内容全能破解;二是网站用户密码,用户资产如网银隐私数据被盗取;三是服务器配置和源码 ,服务器可以被攻破;四是服务器挂掉不能提供服务。
方兴指出:此漏洞事实上非常简单,并不是因为算法被攻破,而是由于程序员在设计时没有做长度检查而产生的内在泄露漏洞。
据新华社