支付宝openssl漏洞肆虐 互联网巨头称目前已修复

支付宝openssl漏洞肆虐 互联网巨头称目前已修复

　　金山毒霸安全专家李铁军表示,这个漏洞使黑客能够远程读取https服务器的随机64KB内存,“只要这个黑客有耐心多捕获多分析那些64KB的数据,用户访问网站的cookies、SSL私钥、帐号密码,这些数据全均可能被黑客远程读取到。” 一位安全行业人士在网络问答社区知乎上透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,得到了40多个用户名、7个密码,用这些密码,他成功地登陆了该网站。

　　网购、信息登记、社交……现在,咱们的平常生活离不开互联网,但有可能,过去两年里,黑客能够利用经过安全漏洞屡次盗取咱们的用户登陆帐号密码。4月8日晚,安全协议OpenSSL爆出本年度最严重的安全漏洞。该安全漏洞被业内称为“心脏流血”。有媒体报道称,已经存在了大约两年了,随后昨日国内各大厂商、互联网企业闻风而动,采起了堵漏洞等相关安全措施。　　目前互联网巨头称已升级系统修复漏洞

　　可远程盗取用户帐户密码

　　据了解,OpenSSL是为网络通讯提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、经常使用的密钥和证书封装管理功能以及SSL协议,目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上普遍使用。该漏洞是由安全公司Codenomicon和谷歌安全工程师发现的,并提交给相关管理机构。

　　安全专家指出,SSL是一种流行的加密技术,能够保护用户经过互联网传输的隐私信息。它比如互联网上销量最大的门锁。它能够容许处于SSL链接一端的电脑发送短信息,确认另外一台电脑仍然在线,并给与回应。但经过被曝光的漏洞,黑客能够经过巧妙的手段发出恶意心跳信息,欺骗另外一端的电脑泄露机密信息。

　　金山毒霸安全专家李铁军表示,这个漏洞使黑客能够远程读取https服务器的随机64KB内存,“只要这个黑客有耐心多捕获多分析那些64KB的数据,用户访问网站的cookies、SSL私钥、帐号密码,这些数据全均可能被黑客远程读取到。”

　　一位安全行业人士在网络问答社区知乎上透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,得到了40多个用户名、7个密码,用这些密码,他成功地登陆了该网站。

　　“OpenSSL漏洞堪称网络核弹,”360安全专家石晓虹表示,不管用户电脑多么安全,只要网站使用了存在漏洞的OpenSSL版本,用户登陆该网站时就可能被黑客实时监控到登陆帐号和密码。“建议广大网友,在此漏洞获得修复前,暂时不要在受到漏洞影响的网站上登陆帐号。”

　　约2亿网民受波及

　　据悉,OpenSSL在今年4月7日推出了OpenSSL 1.01g,修复了这个漏洞。但据360网站安全检测平台昨日对国内120万家通过受权的网站扫描,有11440个网站主机受OpenSSL“心脏出血”漏洞影响。另据多个流量监测机构数据推算,4月7日、4月8日,共计约2亿网友访问了存在OpenSSL漏洞的网站。

　　更为麻烦的是,这个漏洞实际上出现于2012年,至今两年多。这意味着,谁也不知道是否已经有黑客利用漏洞获取了用户资料;并且因为该漏洞即便被入侵也不会在服务器日志中留下痕迹,因此目前尚未办法确认哪些服务器被入侵,也就无法定位损失、确认泄漏信息,从而通知用户进行补救。

　　各大网站和黑客斗快

　　据媒体报道,这个漏洞被曝出来后,全球黑客们已经纷纷出动,不停试探各种服务器,试图从漏洞中抓取到尽可能多的用户敏感数据。所以,各大网站也争分夺秒地升级系统、弥补漏洞。

　　对于用户量较多的腾讯和阿里,两大互联网巨头昨日分别在回复新快报记者的声明中均表示,已第一时间进行了修复处理,目前如QQ、微信、支付宝等都可以安全使用。京东方面也表示,系统已全面排查并升级,能够避免此次漏洞的侵袭。

　　根据安全分析系统ZoomEye的检测报告,截至昨日20点11分,中国12个受影响大站列表中,仅剩YY某服务仍显示未修复状态,其他如微信公众号、QQ邮箱、支付宝、陌陌、比特币中国等网站均已完成修复。

　　中国受影响大站列表

　　12306铁路客户服务中心

　　微信公众号

　　微信网页版

　　QQ邮箱

　　陌陌

　　雅虎

　　比特币中国

　　支付宝

　　知乎

　　淘宝网

　　360应用

　　YY某服务

　　注:据ZoomEye的检测报告,截至昨日22点,除YY某服务仍显示未修复状态,上述网站均已修复。

　　1

　　普通网民能够作这些:

　　注意观察相关事件进展,目前尚没法准确评估黑客利用OpenSSL漏洞得到了多少数据。

　　2

　　对重要服务,尽量开通手机验证或动态密码,好比支付宝、邮箱等,登陆重要服务,不只仅须要验证用户名密码,最好绑定手机,加手机验证码登陆。这样就算黑客拿到帐户密码,登陆还有另外一道门槛。

　　3

　　若是随着事件进展,可能受累及的网络服务在增长或更明确,建议用户修改重要服务的登陆密码。安全专家的建议是,一个密码的使用时间不宜过长,超过3个月就该换掉了。