最有看点的互联网金融门户

最有看点的互联网金融门户
国内资讯

互联网“心脏出血” 银行及银联支付不受影响

本文共2313字,预计阅读时间46

互联网正面临大规模泄露用户信息的危险。4月8日,一个名为“心脏出血”的重要漏洞被爆出,漏洞一旦被黑客攻击,个人登陆账号、密码以及储存在用户本地终端上的数据等都会被获取。截至昨日,腾讯、阿里巴巴、京东等多家公司表示已对漏洞进行修复。据统计,此次在国内受影响的网站达到3万家。

淘宝天猫腾讯京东等都声明

4月8日夜间至4月9日凌晨,是阿里巴巴、腾讯、京东、360、12306等互联网企业最为忙碌的一夜,众多安全技术人员“彻夜未眠”,与黑客争分夺秒对网站漏洞进行修复。一位业内人员说,这一天足以载入史册。因为对于黑客而言,每一秒钟都意味着金钱,他们会不惜一切抓紧时间抓取数据。

4月8日,一个名为openSSL基础网络传输软件被爆存在重大漏洞,这个漏洞被命名为“心脏出血”,意味着该漏洞像心脏出血一样重大和急迫。黑客通过该漏洞可以获取用户的登陆信息等众多敏感信息。据悉,由于openSSL软件一直较好用且免费,有三成企业在构建网站时使用了这个软件。业内人士预计,有3万家国内网站将受到影响。

截至昨日,阿里旗下的淘宝和天猫、腾讯、360、京东商城和当当网声明称,已连夜对漏洞进行修复,用户可以正常使用。截止到记者发稿,并未发现账户异常的情况。

在安全厂商知道创宇提供的“漏洞清单”中,记者看到已对漏洞进行修复的网站包括12306、微信网页版和公众号、QQ邮箱、陌陌、雅虎、比特币中国、支付宝、知乎、淘宝网、360应用等。而YY某服务的漏洞还未进行修复,而在截至昨日下午4点半的清单中,未修复的网站还包括中国电信。

多数中小型网站未修复

4月9日上午,360网站卫士的OpenSSL漏洞检测平台发现,北京大学和清华大学某项网络服务存在“心脏出血”漏洞,同时也监测到了有来自北京联通的一个IP针对这些服务进行漏洞探测。

“大企业对修复漏洞比较积极,但是中小型网站却很难及时修复。”360副总裁谭晓生表示,例如学校网站,截至目前大部分未进行漏洞修复。一部分是由于其构架不能进行升级从而修复漏洞,另一方面则是由于安全人员未给予足够的重视,这将给用户带来较大的风险。

据了解,黑客攻击“心脏出血”并不需要很高门槛,因为入侵代码已经被公布。入侵者只要有足够的耐心和时间,就可以翻检足够多的数据,拼凑出户主的银行密码、私信等敏感数据。据报道,一位安全行业人士透露,他在某知名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。

■专家提醒

7日、8日登过漏洞网站的用户将受影响

“4月7日、8日两天登录过存漏洞网站的用户将受到影响。”谭晓生表示,这部分用户可能多达1.5亿至2亿。

“在7日、8日登录过淘宝、微信、QQ邮箱、京东商城等网站的用户,在看到修复公告后,应修改密码。”谭晓生提醒,对于没有发布已完成修复公告的网站,用户应减少登陆,且不要着急修改密码。

金山毒霸安全专家李铁军也建议,尽可能开通手机验证或动态密码,登录重要服务,不仅需要验证用户名密码,最好绑定手机,加手机验证码登录。这样就算黑客拿到账户密码,登录还有另一道门槛。安全专家建议,一个密码的使用时间不宜过长,超过3个月就该换掉了。

手机APP登录会相对安全吗?谭晓生表示答案是否定的。“手机APP用到openSSL软件的占到50%,我们扫描到一万多个网站有问题。”此外,360提醒用户,简单识别网站应用是否采用SSL加密,只需要看浏览器地址栏是http://,还是https://,以https://访问的网站就是用SSL加密的。

谭晓生表示,未来三到五年,类似于“心脏流血”的事件将会越来越多。病毒、木马、流氓软件将不再是主要威胁。

■新闻链接

银行和银联支付不受影响

OpenSSL漏洞对网上银行有多大影响?昨天,业内人士对北京晨报记者表示,该漏洞对银行网上支付、银行U盾使用及银联的影响几乎为零。

昨天有传言称,即便是银行网上支付、U盾、银联支付,也不安全。这让近几天使用过银行网上支付的银行客户没了着落。

中国金融认证中心应用开发部总经理林峰解释称,OpenSSL漏洞是由于代码实现不严谨造成的。该漏洞存在于OpenSSL1.0.1系列版本中,之前的OpenSSL版本不受影响。天猫、淘宝使用的正是这个系列的版本,所以可以窃取到内存中的数据。

“如果银行使用了带有该漏洞的OpenSSL开源软件版本,是会有一定的影响。但是这个漏洞只是窃取内存中的数据,银行的用户密码还有一重加密保护,一般不会在SSL服务器解密,所以也就很难拿到银行用户的密码。”

林峰还表示,OpenSSL的漏洞和U盾的安全性没有直接联系,因为用户的交易敏感信息是通过USB接口送入U盾后,在U盾内部进行加密和数字签名运算,SSL协议是对U盾加密签名后的数据再进行一次传输层的加密。这次OpenSSL的漏洞对U盾没有影响,可以放心使用。

不过有传言称,中国银联也在此次漏洞的名单之内。昨日,中国银联相关负责人独家回应称,中国银联的系统运维始终坚持行业最高等级安全标准,保障客户信息安全。银联核心跨行交易系统运营基于专用网络,与事件无关。

该负责人解释道,“银联在线支付”等基于互联网的创新业务系统也未使用OpenSSL技术,而对于个别外围供应商可能存在的OpenSSL漏洞,银联已通过主动排查,在乌云网等技术人士公开前就已协调供应商消除了隐患。持卡人完全可以放心使用银联的各项服务。


用微信扫描可以分享至好友和朋友圈

扫描二维码或搜索微信号“iweiyangx”
关注未央网官方微信公众号,获取互联网金融领域前沿资讯。

发表评论

发表评论

您的评论提交后会进行审核,审核通过的留言会展示在下方留言区域,请耐心等待。

评论

您的个人信息不会被公开,请放心填写! 标记为的是必填项

取消

淘宝退货运费险7周年:互联网保险的双十一狂欢

道口保险观察 11-09

腾讯微保意味着什么?保险公司正在被“后台化”

董云峰 11-05

未央今日播报:上海叫停虚拟代币“币币交易” 微信等10平台签署个人信息保护倡议书

未央研究 09-25

未央今日播报:上海17家交易所暂停虚拟货币业务 腾讯战略入股中金

未央研究 09-22

刘强东牵手,小马哥掏钱:一文读懂腾讯、蚂蚁、京东的金融业务出海战略

陈纪英 09-18

版权所有 © 清华大学五道口金融学院互联网金融实验室 | 京ICP备17044750号-1