OpenSSL曝重大缺陷 威胁网银、微信、淘宝等账户密码安全
来源:互联网 发布:神途相比传奇优化在哪 编辑:程序博客网 时间:2024/05/01 18:25
8日,常用于电商、网银等安全性极高网站的网络安全协议OpenSSL被曝出存在安全漏洞,危及全球包括银行、电商在内的关键部门和普通用户财产和信息安全。这一漏洞一旦被恶意利用,意味着用户登录这些电商、网银的账户、密码等关键信息都将泄露。“这个漏洞是地震级别的。”中国计算机学会信息安全专业委员会主任严明说。
这一漏洞被曝出后,全球的黑客与安全保卫者们展开了竞赛。黑客在不停地试探各类服务器,试图从漏洞中抓取到尽量多的用户数据;安全保卫者则在尽可能短的时间里升级系统、弥补漏洞,实在来不及实施的则暂时关闭某些服务。
推荐阅读:Heartbleed“心脏流血”网站安全漏洞与OpenSSL有何关联?
互联网心脏出血 NASA网站也中招
据了解,OpenSSL的源代码中存在一个漏洞,可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中,可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件及重要的商业文档等数据。
这一漏洞由安全公司Codenomicon和谷歌安全工程师独立发现。发现者们给这个漏洞起了个形象的名字:heartbleed,心脏出血。
安全分析系统ZoomEye最新完成的扫描数据显示,全国160万个443端口中,已有3.3万个受本次OpenSSL漏洞影响。在国外,受到波及的网站也数不胜数,连NASA(美国航空航天局)也已宣布,用户数据库遭泄露。
微信淘宝或受攻击 网银密码或被盗取
北京知道创宇信息技术有限公司研究部总监钟晨鸣表示,此次漏洞会影响为数众多的使用https的网站,包括公众熟知并且经常访问的微信、淘宝、各个网银、社交、门户等知名网站,而且越是知名的大网站,越是容易受到不法分子利用漏洞进行的攻击。
据南京翰海源信息技术有限公司创始人方兴介绍,通俗来讲,通过这个漏洞,可以泄露以下四方面内容:一是私钥,所有https站点的加密内容全能破解;二是网站用户密码,用户资产如网银隐私数据被盗取;三是服务器配置和源码,服务器可以被攻破;四是服务器挂掉不能提供服务。
一位安全行业人士透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。
□背景
漏洞已存在两年多 并非修复后就安全
钟晨鸣说,这个漏洞实际上出现于2012年,至今两年多,谁也不知道是否已经有黑客利用漏洞获取了用户资料;而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以目前还没有办法确认哪些服务器被入侵,也就没法定位损失、确认泄露信息,从而通知用户进行补救。
相对于当前可能出现的信息泄密和财产损失,方兴说,它的影响将是持久深远的,并不是此次修复漏洞后就安全了,攻击者还可以利用获得的数据进行更大程度上的破坏。
国家应急中心直到9日才开始联动,响应并不及时。该中心一名专家坦陈,从2003年,国家应急中心就试图建立漏洞触发的相关应急工作和能力,但是这一领域的工作到现在也不够清晰,需要新的能力架构设计。
□建议
普通用户及时改密码
对于普通用户,安全领域专家建议,近日在相关网站升级修复前,建议暂且不要登录网购、网银账户,尤其是对那些没有明确采取补救措施的网站,更应该谨慎避免泄密风险。在网站完成修复升级后,及时修改密码,避免引发次生危害。(如何创造超强密码防止被盗取 避开“心脏出血”Heartbleed漏洞!)
□回应
多家电商称已修复漏洞
对于OpenSSL存在的漏洞,阿里巴巴、腾讯、百度、360、京东等中国互联网公司昨日均表示,已经在第一时间对漏洞进行了修复。
腾讯和阿里巴巴均回应称,已在第一时间对OpenSSL某些存在基础协议通用漏洞的版本进行了修复处理,目前已经处理完毕,腾讯包括邮箱、财付通、QQ、微信等产品和网站,阿里包括淘宝、天猫、支付宝等各网站都确认可以放心使用。
- OpenSSL曝重大缺陷 威胁网银、微信、淘宝等账户密码安全
- OpenSSL曝重大安全漏
- OpenSSL曝重大安全漏洞
- 安全协议并不安全 OpenSSL出现重大安全漏洞
- WiFi曝Krack重大漏洞,6大措施应对威胁!
- ActiveMQ 安全设置----设置安全认证账户和密码
- 解析OpenSSL重大安全漏洞
- 重磅消息!微信或为确保用户账户安全或关停这一功能…
- 使初始 MySQL 账户安全,为匿名账户指定密码或删掉匿名账户
- 关注Erdaicms官方微信订阅号,获取测试后台的账户和密码
- 微信密码框提示下载并安装安全控件
- 银行账户密码 在对银行账户等重要权限设置密码的时候......
- SilverLight5.0现重大缺陷
- 如何设置ssh账户安全限制并可以更改密码
- MySQL与安全:ACLs、账户、密码、权限、远程登录
- 安全缺陷
- 人类共同面临的重大威胁
- oracle忘记了sys等账户的密码
- Relocations in generic ELF (EM: 3)异常的解决办法
- 转载 数据类型, T2COLE等宏,在MSDN上很难搜索到,故转载这个文章,比较全面
- 这个季节的一切都入了画
- C++学习笔记——1
- SDUT 2151 - Phone Number
- OpenSSL曝重大缺陷 威胁网银、微信、淘宝等账户密码安全
- Linux下nm和ldd 命令
- 实验十二路由器的密码恢复
- ios中的SQL数据库文件加密 (使用sqlcipher)
- 图形界面与命令行模式的切换
- Java 以空格分割字符串
- 哈尔滨一在建工地工棚起火 过火面积达400余平米
- one simple example of yield
- Linked List Cycle