互聯(lián)網(wǎng)“心臟出血”電商網(wǎng)銀遭受威脅
阿里京東已修復(fù) 用戶需修改密碼
4月8日外媒爆出�,研究人員發(fā)現(xiàn)OpenSSL漏洞遍及全球互聯(lián)網(wǎng)公司�����,并為其起了個(gè)形象的名字“心臟出血”���,中國超過3萬臺(tái)主機(jī)受波及,國內(nèi)網(wǎng)站和安全廠商技術(shù)人員為檢查�����、搶修徹夜未眠����。截至昨天,有超30%的主機(jī)已經(jīng)修復(fù)�����,“大站”紛紛表示安全�,但技術(shù)人士稱,消費(fèi)者敏感信息是否泄露還有待日后觀察���。
京華時(shí)報(bào)記者廖豐古曉宇祝劍禾顧夢(mèng)琳高晨京華時(shí)報(bào)制圖何將
□事件
OpenSSL漏洞曝光
4月8日����,OpenSSL的大漏洞曝光,外國黑客將其命名為“heartbleed”��,用最致命的內(nèi)傷“心臟出血”描述事件的嚴(yán)重性����。該漏洞是由Codenomicon和谷歌安全部門的研究人員獨(dú)立發(fā)現(xiàn)的。不過據(jù)外媒報(bào)道���,為了將影響降到最低���,研究人員已經(jīng)與OpenSSL團(tuán)隊(duì)和其他關(guān)鍵的內(nèi)部人士展開了合作,在公布該問題前就已經(jīng)準(zhǔn)備好修復(fù)方案�。
OpenSSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議,囊括了主要的密碼算法��、常用的密鑰和證書封裝管理功能以及SSL協(xié)議���,各大網(wǎng)銀��、在線支付���、電商網(wǎng)站�����、門戶網(wǎng)站��、電子郵件等重要網(wǎng)站上廣泛使用。知道創(chuàng)宇網(wǎng)站安全部總監(jiān)余弦將OpenSSL形容為“互聯(lián)網(wǎng)上銷量最大的門鎖”�。此次爆出的這個(gè)漏洞,則讓特定版本的OpenSSL成為無需鑰匙即可開啟的廢鎖���,入侵者每次可以翻檢戶主的64K信息�����,只要有足夠的耐心和時(shí)間���,他可以翻檢足夠多的數(shù)據(jù),拼湊出戶主的銀行密碼��、私信等敏感數(shù)據(jù)��。
“簡(jiǎn)單識(shí)別網(wǎng)站應(yīng)用是否采用SSL加密���,只需要看瀏覽器地址欄是http���,還是https����,后者就是用SSL加密的����。通常是非常關(guān)鍵的網(wǎng)絡(luò)服務(wù),比如郵箱�、支付、銀行��?����!苯鹕蕉景园踩珜<依铊F軍說���。
“有這樣千載難逢的機(jī)會(huì)�����,黑客們是舍不得睡覺的���。他們會(huì)想盡辦法多獲取一些服務(wù)器上的信息���。”360公司技術(shù)副總裁譚曉生說����。
