4月9日，安全協(xié)議OpenSSL被爆出驚天大漏洞，在黑客社區(qū)它被命名為 心臟出血 ，表明網(wǎng)上出現(xiàn)了 致命內(nèi)傷 。利用該漏洞，黑客可以獲取約30%的https開頭網(wǎng)址的用戶登錄賬號(hào)密碼，其中包括購(gòu)物、網(wǎng)銀、社交、門戶等類型的知名網(wǎng)站。國(guó)內(nèi)大部分網(wǎng)銀(包括支付寶)、電子郵箱、動(dòng)態(tài)網(wǎng)頁(yè)都在波及名單之列，用戶信息安全形勢(shì)不容樂觀!

　　 出血漏洞 或危及2億用戶

　　安全記錄顯示，4月7日凌晨，國(guó)內(nèi)就出現(xiàn)了針對(duì)OpenSSL 心臟出血 漏洞的黑客攻擊跡象。據(jù)360網(wǎng)站安全檢測(cè)平臺(tái)對(duì)國(guó)內(nèi)120萬家經(jīng)過授權(quán)的網(wǎng)站掃描，其中有11440個(gè)網(wǎng)站主機(jī)受到此次OpenSSL 心臟出血 漏洞的影響，約有2億網(wǎng)友訪問了存在該漏洞的網(wǎng)站，期間造成的直接經(jīng)濟(jì)損失尚在評(píng)估中。

　　那么，何為 OpenSSL ?該OpenSSL 出血漏洞 又將有怎樣的危害呢?對(duì)此，360安全工程師介紹，OpenSSL此漏洞堪稱 網(wǎng)絡(luò)核彈 ，網(wǎng)銀、網(wǎng)購(gòu)、網(wǎng)上支付、郵箱等都會(huì)受到影響。因?yàn)橛泻芏嚯[私信息都存儲(chǔ)在網(wǎng)站服務(wù)器的內(nèi)存中，無論用戶電腦多么安全，只要網(wǎng)站使用了存在漏洞的OpenSSL版本，用戶登錄該網(wǎng)站時(shí)就可能被黑客實(shí)時(shí)監(jiān)控到登錄賬號(hào)和密碼。

　　嚴(yán)陣以待 360軟硬防護(hù)力保用戶安全

　　用戶的信息安全就是生命!在漏洞爆發(fā)之前，360就已經(jīng)率先開始了積極處理工作，一方面，及時(shí)向相關(guān)機(jī)構(gòu)發(fā)出漏洞危機(jī)預(yù)警，并主動(dòng)評(píng)估各大網(wǎng)站頁(yè)面信息風(fēng)險(xiǎn)，協(xié)助相關(guān)安全部門完成補(bǔ)丁升級(jí)工作，另一方面，360也在軟硬件端推出了多項(xiàng)應(yīng)對(duì)防護(hù)措施，力保用戶信息安全。

　　在軟件上，360網(wǎng)站衛(wèi)士在第一時(shí)間推出了OpenSSL漏洞在線檢查工具，(wangzhan.#/heartbleed)，用戶只要輸入網(wǎng)址就能夠檢測(cè)網(wǎng)站是否存在該漏洞。同時(shí)，360還開通了用戶服務(wù)熱線：4000366588。用戶在對(duì)該漏洞進(jìn)行升級(jí)和維護(hù)網(wǎng)站過程中，可以撥打該熱線，獲得360免費(fèi)全程技術(shù)支持等。

　　在硬件方面，360及時(shí)升級(jí)了將于近期發(fā)售的 360安全路由器 的多項(xiàng)軟硬件設(shè)置，以化解 心臟出血 核心漏洞帶來的威脅，其原理為： 360安全路由器 將內(nèi)置 安全網(wǎng)址庫(kù) ，該庫(kù)會(huì)自動(dòng)進(jìn)行實(shí)時(shí)更新，并且路由器還將過濾一切非法IP，在信息的首尾兩端進(jìn)行雙重防護(hù)。當(dāng)用戶訪問網(wǎng)頁(yè)時(shí)，路由器會(huì)根據(jù) 安全網(wǎng)址庫(kù) 判斷該網(wǎng)址是否安全，當(dāng)確認(rèn)地址存在OpenSSL風(fēng)險(xiǎn)時(shí)，它就會(huì)向用戶發(fā)出預(yù)警提示，防止用戶在不經(jīng)意間泄露隱私。

　　另?yè)?jù)記者了解，除了本次 心臟出血 風(fēng)險(xiǎn)，360還將其多年的安全技術(shù)優(yōu)勢(shì)與360安全路由結(jié)合，其獨(dú)創(chuàng)的360sOS安全路由器系統(tǒng)和全球領(lǐng)先的網(wǎng)絡(luò)安全技術(shù)，不僅可以防黑客暴力破解入侵，還可以從源頭攔截惡意、欺詐網(wǎng)站，自動(dòng)過濾木馬、釣魚網(wǎng)站，避免隱私數(shù)據(jù)泄露。

　　安全提示：暫不要在漏洞網(wǎng)站登錄

　　截至記者發(fā)稿時(shí)，針對(duì)此次OpenSSL 心臟出血 漏洞，已經(jīng)有多個(gè)大型互聯(lián)網(wǎng)服務(wù)商宣布修復(fù)了該漏洞。然而，仍然有很多網(wǎng)站并未對(duì)OpenSSL進(jìn)行升級(jí)，用戶訪問這些網(wǎng)站時(shí)，仍然存在個(gè)人信息泄露的風(fēng)險(xiǎn)。

　　對(duì)此，360安全工程師提醒廣大站長(zhǎng)，盡快將OpenSSL升級(jí)至1.0.1g版本，以修復(fù)該漏洞。如果通過檢測(cè)發(fā)現(xiàn)問題，可以聯(lián)系硬件設(shè)備提供商，通過軟件升級(jí)或降級(jí)等方式進(jìn)行修復(fù)。同時(shí)建議廣大網(wǎng)友，暫時(shí)不要在受到漏洞影響的網(wǎng)站上登陸賬號(hào)，尤其是那些沒有明確采取補(bǔ)救措施的網(wǎng)站，訪問更應(yīng)慎之又慎。

　　■名詞解釋：

　　OpenSSL及其危害

　　SSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。多數(shù)SSL加密的網(wǎng)站(比如購(gòu)物、網(wǎng)銀、社交、新聞門戶、微博、微信等)都使用名為OpenSSL的開源軟件包。

　　可以近似地說，OpenSSL是互聯(lián)網(wǎng)上銷量最大的 門鎖 。而一旦該漏洞被黑客利用，黑客就可以遠(yuǎn)程獲取被入侵網(wǎng)站的用戶信息，包括登陸賬號(hào)、密碼等私密信息。