OpenSSL曝重大缺陷 威胁网银、微信、淘宝等账户密码安全

　　8日，常用于电商、网银等安全性极高网站的网络安全协议OpenSSL被曝出存在安全漏洞，危及全球包括银行、电商在内的关键部门和普通用户财产和信息安全。这一漏洞一旦被恶意利用，意味着用户登录这些电商、网银的账户、密码等关键信息都将泄露。“这个漏洞是地震级别的。”中国计算机学会信息安全专业委员会主任严明说。

　　这一漏洞被曝出后，全球的黑客与安全保卫者们展开了竞赛。黑客在不停地试探各类服务器，试图从漏洞中抓取到尽量多的用户数据；安全保卫者则在尽可能短的时间里升级系统、弥补漏洞，实在来不及实施的则暂时关闭某些服务。

        推荐阅读：Heartbleed“心脏流血”网站安全漏洞与OpenSSL有何关联？

互联网心脏出血 NASA网站也中招

　　据了解，OpenSSL的源代码中存在一个漏洞，可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中，可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件及重要的商业文档等数据。

　　这一漏洞由安全公司Codenomicon和谷歌安全工程师独立发现。发现者们给这个漏洞起了个形象的名字：heartbleed，心脏出血。

　　安全分析系统ZoomEye最新完成的扫描数据显示，全国160万个443端口中，已有3.3万个受本次OpenSSL漏洞影响。在国外，受到波及的网站也数不胜数，连NASA（美国航空航天局）也已宣布，用户数据库遭泄露。

微信淘宝或受攻击 网银密码或被盗取

　　北京知道创宇信息技术有限公司研究部总监钟晨鸣表示，此次漏洞会影响为数众多的使用https的网站，包括公众熟知并且经常访问的微信、淘宝、各个网银、社交、门户等知名网站，而且越是知名的大网站，越是容易受到不法分子利用漏洞进行的攻击。

　　据南京翰海源信息技术有限公司创始人方兴介绍，通俗来讲，通过这个漏洞，可以泄露以下四方面内容：一是私钥，所有https站点的加密内容全能破解；二是网站用户密码，用户资产如网银隐私数据被盗取；三是服务器配置和源码，服务器可以被攻破；四是服务器挂掉不能提供服务。

　　一位安全行业人士透露，他在某著名电商网站上用这个漏洞尝试读取数据，在读取200次后，获得了40多个用户名、7个密码，用这些密码，他成功地登录了该网站。

□背景

漏洞已存在两年多 并非修复后就安全

　　钟晨鸣说，这个漏洞实际上出现于2012年，至今两年多，谁也不知道是否已经有黑客利用漏洞获取了用户资料；而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹，所以目前还没有办法确认哪些服务器被入侵，也就没法定位损失、确认泄露信息，从而通知用户进行补救。

　　相对于当前可能出现的信息泄密和财产损失，方兴说，它的影响将是持久深远的，并不是此次修复漏洞后就安全了，攻击者还可以利用获得的数据进行更大程度上的破坏。

　　国家应急中心直到9日才开始联动，响应并不及时。该中心一名专家坦陈，从2003年，国家应急中心就试图建立漏洞触发的相关应急工作和能力，但是这一领域的工作到现在也不够清晰，需要新的能力架构设计。

□建议

普通用户及时改密码

　　对于普通用户，安全领域专家建议，近日在相关网站升级修复前，建议暂且不要登录网购、网银账户，尤其是对那些没有明确采取补救措施的网站，更应该谨慎避免泄密风险。在网站完成修复升级后，及时修改密码，避免引发次生危害。（如何创造超强密码防止被盗取 避开“心脏出血”Heartbleed漏洞！）

□回应

多家电商称已修复漏洞

　　对于OpenSSL存在的漏洞，阿里巴巴、腾讯、百度、360、京东等中国互联网公司昨日均表示，已经在第一时间对漏洞进行了修复。

　　腾讯和阿里巴巴均回应称，已在第一时间对OpenSSL某些存在基础协议通用漏洞的版本进行了修复处理，目前已经处理完毕，腾讯包括邮箱、财付通、QQ、微信等产品和网站，阿里包括淘宝、天猫、支付宝等各网站都确认可以放心使用。