互聯網“心臟出血”電商網銀遭受威脅

阿里京東已修復 用戶需修改密碼

4月8日外媒爆出，研究人員發(fā)現OpenSSL漏洞遍及全球互聯網公司，并為其起了個形象的名字“心臟出血”，中國超過3萬臺主機受波及，國內網站和安全廠商技術人員為檢查、搶修徹夜未眠。截至昨天，有超30%的主機已經修復，“大站”紛紛表示安全，但技術人士稱，消費者敏感信息是否泄露還有待日后觀察。

京華時報記者廖豐古曉宇祝劍禾顧夢琳高晨京華時報制圖何將

□事件

OpenSSL漏洞曝光

4月8日，OpenSSL的大漏洞曝光，外國黑客將其命名為“heartbleed”，用最致命的內傷“心臟出血”描述事件的嚴重性。該漏洞是由Codenomicon和谷歌安全部門的研究人員獨立發(fā)現的。不過據外媒報道，為了將影響降到最低，研究人員已經與OpenSSL團隊和其他關鍵的內部人士展開了合作，在公布該問題前就已經準備好修復方案。

OpenSSL是為網絡通信提供安全及數據完整性的一種安全協(xié)議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議，各大網銀、在線支付、電商網站、門戶網站、電子郵件等重要網站上廣泛使用。知道創(chuàng)宇網站安全部總監(jiān)余弦將OpenSSL形容為“互聯網上銷量最大的門鎖”。此次爆出的這個漏洞，則讓特定版本的OpenSSL成為無需鑰匙即可開啟的廢鎖，入侵者每次可以翻檢戶主的64K信息，只要有足夠的耐心和時間，他可以翻檢足夠多的數據，拼湊出戶主的銀行密碼、私信等敏感數據。

“簡單識別網站應用是否采用SSL加密，只需要看瀏覽器地址欄是http，還是https，后者就是用SSL加密的。通常是非常關鍵的網絡服務，比如郵箱、支付、銀行?！苯鹕蕉景园踩珜＜依铊F軍說。

“有這樣千載難逢的機會，黑客們是舍不得睡覺的。他們會想盡辦法多獲取一些服務器上的信息。”360公司技術副總裁譚曉生說。