近日,互联网又抛出重量级“炸弹”——OpenSSL曝出名为“Heartbleed(心脏出血)”的漏洞,黑客可利用该漏洞盗取https开头网址的账号密码信息,严重威胁网络购物、支付、社交等领域。所幸该漏洞一经曝出,就得到了大多数网站的及时补救。安全专家建议广大网友在此漏洞得到修复前,谨慎登录https网站和与支付相关操作,并在修复漏洞的第一时间及时修改密码。
“影响至少两亿中国网民”
“‘心脏出血’漏洞可致数亿网民密码泄露!利用该漏洞,黑客可实时获取很多https开头网址的用户登录账号密码。”从前天晚上开始,网络上开始热传“心脏出血”漏洞的消息,公安部治安管理局官方微博“公安部打四黑除四害”也警告网友,注意该漏洞引发的网络安全。
何为“心脏出血”漏洞?360公司技术副总裁谭晓生昨天告诉记者,SSL是为网络通信提供安全及数据完整性的一种安全协议。多数SSL加密的网站都使用名为OpenSSL的开源软件包,目前在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用,“它是互联网上销量最大的‘门锁’。”该漏洞让特定版本的OpenSSL成为无需钥匙即可开启的“废锁”。
当在一个存在OpenSSL“心脏出血”漏洞的网站上登录账号,多名黑客就可能实时抓取到该账号和密码等信息。由于OpenSSL漏洞主要影响网银、网购、社交、邮件等涉及财产和隐私数据的网站,据360公司估算,此次漏洞“影响至少两亿中国网民”。
建议修复前谨慎登录
由于黑客是直接从存在漏洞的网站主机抓取数据,因此网民无法立刻感知自己是否中招。
不过好消息是,该漏洞一经曝出,大量网站已经开始紧急修复该漏洞,但是修复此漏洞普遍需要半个小时到一个小时,大型网站修复时间会更长一些。
国内一些网络安全公司也推出了OpenSSL漏洞检测平台,只需要输入网站域名或IP,就可以判断出是否存在“心脏出血”漏洞。
截至昨日18:30,记者在360网站卫士OpenSSL漏洞检测平台上发现,共有66318个网站提交检测,其中有1826个网站存在漏洞。不过记者拿淘宝、 、部分网银和邮箱做检测,均不存在漏洞。
对此,谭晓生建议,网友们在漏洞得到修复前,暂时不要在受影响的网站上登录账号。另外,他还建议网友在修复漏洞的第一时间及时修改密码,并养成定期修改重要账号密码的习惯。