新浪科技 穆媛媛
新浪科技讯 4月9日中午消息,昨日,OpenSSL(为网络通信提供安全及数据完整性的一种安全协议)被爆存在安全漏洞。利用该漏洞,黑客可多次盗取以https开头网址的用户登录账号密码,该漏洞波及电商网站、在线支付等领域。对此,安全专家已发布紧急预警,提醒各大互联网服务商尽快进行版本升级,修复该漏洞。
针对此次OpenSSL漏洞,乌云创始人方小顿对新浪科技表示,OpenSSl实质与服务器有关,很多网站在建站的过程中未及时跟进版本的升级从而导致漏洞的的出现。一般情况下,普通http协议访问网站时,用户信息安全不受OpenSSL的影响。SSL大多运用于电商网站、网银以及在线支付领域, 因为在涉及到资金安全及个人隐私等敏感内容的网页,服务器一般都会强制使用https协议。
被此次漏洞波及的电商企业纷纷表示未受到影响,或已经修复处理完毕。阿里安全回应称,关于OpenSSL某些版本存在基于基础协议的通用漏洞,阿里各网站已经在第一时间进行了修复处理,目前已经处理完毕,包括淘宝、天猫、支付宝等各大网站都确认可以放心使用。
当当网表示,目前并未收到任何有关此漏洞的信息,客服也未接到相关投诉,具体细节还需与技术进行了解。而淘宝方面表示,针对OpenSSl的问题,淘宝网已经在第一时间进行了处理和修复,目前已经处理完毕,支付宝则称并未受到影响。另外,京东相关负责人表示,系统已全面排查并升级,可以避免这次漏洞的侵袭。
对此,团购网站拉手网CTO官冲在接受新浪科技采访时表示,该漏洞对于拉手网没有造成太大影响,因为拉手网并未直接保存敏感信息,并且已对网站版本进行了升级。官冲同时建议用户登陆并使用https协议的网页后,及时修改密码,以确保个人信息的安全。同时用户可使用在线检测工具,预先查看将要访问的https页面有无OpenSSL heartbleed漏洞。
此外,据业内人士介绍受此次漏洞波及的另一领域是在线支付。但网银在线相关人员告诉新浪科技,其网站并未因OpenSSL漏洞而遭受太大影响,并且相关技术人员已经做好技术升级,目前网站运营正常。
专家建议:
乌云创始人 方小顿
针对此漏洞,乌云创始人方小顿表示,OpenSSl是部署在网站服务器端的,因此这个漏洞与用户的个人电脑安全性没有关系。很多网站在建站的过程中未跟进版本的升级从而导致漏洞的的出现。他认为,修复该漏洞并不存在技术上的困难,而只需要几个小时时间便可修复。因此,方小顿建议相关网站进行版本升级。
金山毒霸安全专家 李铁军
网站怎么办?
网站管理员可以使用这个服务检查自己的网站是否存在威胁:http://filippo.io/Heartbleed/
尽快升级OpenSSL到1.0.1g
网民怎么办?
1.注意观察相关事件进展,目前尚无法准确评估黑客利用OpenSSL漏洞获得了多少数据。
2.对重要服务,尽可能开通手机验证或动态密码,比如支付宝、邮箱等,登录重要服务,不仅仅需要验证用户名密码,最好绑定手机,加手机验证码登录。这样就算黑客拿到帐户密码,登录还有另一道门槛。
3.如果随着事件进展,可能受累及的网络服务在增加或更明确,建议用户修改重要服务的登录密码。安全专家的建议是,一个密码的使用时间不宜过长,超过3个月就该换掉了。