全球互联网“心脏出血”波及2亿中国网民_电脑报在线
当前位置:首页 > 新闻资讯 > IT业界 > 新闻
全球互联网“心脏出血”波及2亿中国网民
  • 2014-4-11 10:58:45
  • 类型:原创
  • 来源:电脑报
  • 报纸编辑:邓晓进
  • 作者:
【电脑报在线】4月8日,OpenSSL(为网络通信提供安全及数据完整性的一种安全协议)爆出本年度最严重的安全漏洞。利用该漏洞,黑客坐在自己家里电脑前,就可以实时获取到很多以https开头网址的用户登录账号密码,包括大批网银、知名购物网站、电子邮件等。截至记者截稿10日当天中午,腾讯、阿里巴巴、京东等多家公司表示已对漏洞进行修复。据业内人士预计,此次国内受影响的有3万台服务器,按此推算,预计有2-3万个网站受到影响。

4月8日,OpenSSL(为网络通信提供安全及数据完整性的一种安全协议)爆出本年度最严重的安全漏洞。利用该漏洞,黑客坐在自己家里电脑前,就可以实时获取到很多以https开头网址的用户登录账号密码,包括大批网银、知名购物网站、电子邮件等。截至记者截稿10日当天中午,腾讯、阿里巴巴、京东等多家公司表示已对漏洞进行修复。据业内人士预计,此次国内受影响的有3万台服务器,按此推算,预计有2-3万个网站受到影响。


全球互联网集体经历了一场“心脏出血”(Heartbleed),无辜的互联网用户面临可能大规模信息泄漏的风险

 

国内2亿网民受波及

4月7日凌晨,国内就出现了针对OpenSSL“心脏出血”漏洞的黑客攻击迹象。据360网站安全检测平台对国内120万家经过授权的网站扫描,其中有11440个网站主机受该漏洞影响。4月7日、4月8日期间,共计约2亿网民访问了存在OpenSSL漏洞的网站。也就是说,此次安全漏洞事件至少使国内2亿网民受波及。

安全专家介绍,此次漏洞的成因,可能是OpenSSL存在一个BUG,当攻击者构造一个特殊的数据包,满足一定条件后,会导致数据输出,该漏洞让攻击者可以远程读取数据,一次盗走64K的数据包。这部分数据中,可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。

据了解,黑客攻击“心脏出血”并不需要很高门槛,因为入侵代码已经被公布。入侵者只要有足够的耐心和时间,就可以翻检足够多的数据,拼凑出户主的银行密码、私信等敏感数据。

目前还没有具体的统计数据显示这次漏洞造成多大的经济损失,但发现该漏洞的研究人员指出,当今最热门的两大网络服务器Apache和nginx都使用OpenSSL。总体来看,这两种服务器约占全球网站总数的三分之二。

国内网站忙修复

4月8日夜间至4月9日凌晨,是阿里巴巴、腾讯、京东、360、12306等互联网企业最为忙碌的一夜,众多安全技术人员“彻夜未眠”,与黑客争分夺秒对网站漏洞进行修复。“昨夜我们全部门连夜加班,总算熬过这一劫。”国内某大型互联网公司的相关人士对本报记者表示,“这个事儿修复起来并不是那么容易的事情,尤其是服务器多的企业。”

截至发稿前,包括阿里巴巴、腾讯等多个大型互联网服务商通过官微宣布,已经修复了该OpenSSL漏洞。

腾讯公司称,已在第一时间对OpenSSL某些存在基础协议通用漏洞的版本,进行了修复处理,目前已经处理完毕,包括邮箱、财付通、QQ、微信等产品。

阿里巴巴也表示,旗下淘宝、天猫、支付宝等都可以放心使用。阿里小微金融服务集团(筹)首席风险官、阿里巴巴集团副总裁胡晓明对媒体介绍,4月8日晚间,技术团队通宵工作,已经完全修复了OpenSSL出现漏洞后的安全信息问题。

京东商城方面昨日称,已对系统全面排查并升级,目前不建议用户修改密码。

4月9日,中国金融认证中心(CFCA)官方网站挂出文章,针对OpenSSL漏洞对网银的影响进行了说明,其表示,网银系统均使用商业级的SSL加密设备,很少有采用类似OpenSSL这样的开源软件,因此受到的影响较少。而对于普通用户,U盾可以完全放心使用。

“大企业对修复漏洞比较积极,但是中小型网站却很难及时修复。”据奇虎360副总裁、首席隐私官谭晓生介绍,例如学校网站,截至目前大部分未进行漏洞修复。一部分是由于其构架不能进行升级从而修复漏洞,另一方面则是由于安全人员未给予足够的重视。

专家提醒:用户应该怎么办?

这几天登录过网银、支付宝的用户该怎么办?是否需要更改密码?修复以后的网站还能继续使用吗?网民如何知道自己所使用的网站是否已经修复了安全漏洞问题?针对此问题,记者也集中采访了各个安全公司的相关负责人予以解答。

“这次的安全事件对于安全厂商来说只能是更多去提醒各大网站进行修复,用户也很难自己避免信息的泄漏。”据谭晓生介绍,4月7日、8日两天登录过存漏洞网站的用户将受到影响。“在7日、8日登录过淘宝、微信、QQ邮箱、京东商城等网站的用户,在看到修复公告后,应修改密码。”

金山毒霸安全专家李铁军也建议,在网站没有公布确认修复的公告以前,用户应该暂时不要登录和更改密码。同时,用户尽可能开通手机验证或动态密码,将重要服务于手机绑定起来。这样即使黑客拿到账户密码,登录后还有另一道门槛。

  手机APP登录会相对安全吗?谭晓生表示答案是否定的。“手机APP用到openSSL软件的占到50%,我们扫描到一万多个网站有问题。”此外,360提醒用户,简单识别网站应用是否采用SSL加密,只需要看浏览器地址栏是http://,还是https://,以https://访问的网站就是用SSL加密的。

本文出自2014-04-14出版的《电脑报》2014年第14期 A.新闻周刊
(网站编辑:soso)


我来说两句(0人参与讨论)
发表给力评论!看新闻,说两句。
匿名 ctrl+enter快捷提交
读者活动
48小时点击排行
论坛热帖