部分已修復 威脅仍在發(fā)酵& & 直擊互聯(lián)網 心臟出血 48小時

    新華網北京４月１０日電（記者南婷、鄧中豪）４月８日，網絡安全協(xié)議ＯｐｅｎＳＳＬ被曝發(fā)現(xiàn)嚴重安全漏洞，諸多公眾熟知的電商、支付類接口、社交、門戶網站瞬間處于 裸奔 狀態(tài)，大量網民信息面臨泄密風險?；ヂ?lián)網 心臟出血 還將持續(xù)多久？危害究竟多大？普通用戶在此時此刻應當做些什么？新華社記者就此進行了調查。

地震級 網絡災難降臨　 心臟出血 搶修進行中

　?。丛拢溉?，在微軟ＸＰ操作系統(tǒng)正式停服同一天，互聯(lián)網筑墻被劃出一道致命的裂口& & 常用于電商、支付類接口等安全性極高網站的網絡安全協(xié)議ＯｐｅｎＳＳＬ被曝存在高危漏洞，眾多使用ｈｔｔｐｓ的網站均可能受到影響。

　　一些人對漏洞嚴重性還在盲目樂觀時，業(yè)界知名 白帽子 、北京知道創(chuàng)宇信息技術有限公司研究部總監(jiān)余弦指出，此漏洞一旦被惡意利用，用戶登錄這些電商、支付類接口的賬戶、密碼等關鍵信息都將面臨泄露風險。包括公眾熟知并且經常訪問的微信、淘寶、一些支付類接口、社交、門戶等知名網站均受到影響，而且越是知名高的網站，越容易受到不法分子的攻擊。

　　在余弦的電腦屏幕上，網絡安全分析系統(tǒng)掃描顯示，在中國境內的１６０余萬臺服務器中，有３３３０３臺受到這一漏洞影響。蘇寧、盛大、網易、搜狗、唯品會、比特幣中國、微信、豌豆莢……一個個網民常用的甚至依賴的網站紛紛 躺槍 。

　　余弦告訴記者，這３萬多臺服務器分布在支付類接口系統(tǒng)、大型電商網站、即時通訊系統(tǒng)和郵箱等這些最重要的網絡服務器中。

　　８日晚，余弦和他的團隊守在電腦屏幕前徹夜未眠，安全保衛(wèi)者們敲擊鍵盤的噼啪聲一夜未斷。不僅余弦，３６０、京東、微信、支付寶等公司的技術團隊也徹夜奮戰(zhàn)，和黑客們開展起了一場 你盜我堵 的賽跑，在黑客竊取更多用戶數據前趕緊予以修復。

狼來了 ：數據已發(fā)生泄露

　　南京翰海源信息技術有限公司創(chuàng)始人方興指出：此漏洞事實上非常簡單，并不是因為算法被攻破，而是由于程序員在設計時沒有做長度檢查而產生的內在泄露漏洞。

　　 新生程序員時常會犯這樣的錯誤。 知道創(chuàng)宇首席執(zhí)行官楊冀龍如此看待這一問題。

　　 打個形象的比喻，就像家里的門很堅固也鎖好了，但是發(fā)現(xiàn)窗戶虛掩著。 中國計算機學會計算機安全專業(yè)委員會主任嚴明說，這個漏洞是地震級別的。

　　知道創(chuàng)宇公司持續(xù)在線監(jiān)測情況顯示，雖然大部分公司已有所行動，但仍有部分涉及機構動作遲緩。截至９日晚，知道創(chuàng)宇公司通過監(jiān)測ＺｏｏｍＥｙｅ實時掃描數據分析發(fā)現(xiàn)，國內１２３０６鐵路客戶服務中心、微信公眾號、支付寶、淘寶網、３６０應用、陌陌、雅虎、ＱＱ郵箱、微信網頁版、比特幣中國、雅虎、知乎等網站的漏洞已經修復完畢。但還有一些網站沒有完成修復。

　　余弦告訴記者，該漏洞并不一定導致用戶數據泄露，因為該漏洞只能從內存中讀?。叮矗说臄祿?，而重要信息正好落在這個可讀取的６４Ｋ中的幾率并不大，但是攻擊者可以不斷批量地去獲取這最新的６４Ｋ記錄，這樣就很大程度上可以得到盡可能多的用戶隱私信息。

　　一位安全行業(yè)人士透露，他在某著名電商網站上用這個漏洞嘗試讀取數據，在讀取２００次后，獲得了４０多個用戶名、７個密碼，用這些密碼，他成功地登錄了該網站。　

威脅還長期潛伏

　　余弦坦言，問題在于這個漏洞實際出現(xiàn)在２０１２年。兩年多來，誰也不知道是否已經有黑客利用漏洞獲取了用戶資料；由于該漏洞即使被入侵也不會在服務器日志中留下痕跡，所以目前還沒有辦法確認哪些服務器被入侵過，也就沒法定位損失、確認泄露信息。

　　目前看來，該漏洞確已被很多黑客利用。網絡安全領域資深人士透露，由于ＯｐｅｎＳＳＬ漏洞的出現(xiàn)，８日、９日的地下交易市場中，各種兜售非法數據的交易顯得異?；鸨?，比如一份某省工程類人員的信息數據，該信息清晰顯示出大量人員的姓名、身份證號碼等。

　　記者采訪了解到，安全協(xié)議ＯｐｅｎＳＳＬ最新漏洞的影響仍在持續(xù)發(fā)酵，截至目前仍有許多網站尚未完成漏洞修復。

　　楊冀龍建議，在相關網站升級修復前，建議暫且不要登錄網購、支付類接口賬戶，尤其是對那些沒有明確采取補救措施的網站，更應該謹慎避免泄密風險。對于一些已經完成升級的網站，用戶應當盡快登錄網站更改自己的密碼等重要信息。

　　安全人士指出，即使用戶之前登錄的網站發(fā)生了泄密，因為黑客掌握的賬號密碼數量龐大，短時間內無法消化使用，所以對于單個用戶而言盡快更改密碼設置是非常必要的。但是，對于一些郵箱類網站，則需再登錄郵箱一次，然后點擊退出登錄，因為黑客利用ｃｏｏｋｉｅ緩存可直接登錄。