• 首页
  • 全球快讯
  • 未央推荐
    科技·经济·生活
  • 专题
  • 视频
  • 研究
  • 活动
  • 未央出版
  • 五十人论坛
  • 关于我们

    • 清华大学金融科技研究院孵化
    金融科技与金融创新全媒体

  • 登录
  • 注册

    • 扫描分享

    本文共字,预计阅读时间

    互联网正面临大规模泄露用户信息的危险。4月8日,一个名为“心脏出血”的重要漏洞被爆出,漏洞一旦被黑客攻击,个人登陆账号、密码以及储存在用户本地终端上的数据等都会被获取。截至昨日,腾讯、阿里巴巴、京东等多家公司表示已对漏洞进行修复。据统计,此次在国内受影响的网站达到3万家。

    淘宝天猫腾讯京东等都声明

    4月8日夜间至4月9日凌晨,是阿里巴巴、腾讯、京东、360、12306等互联网企业最为忙碌的一夜,众多安全技术人员“彻夜未眠”,与黑客争分夺秒对网站漏洞进行修复。一位业内人员说,这一天足以载入史册。因为对于黑客而言,每一秒钟都意味着金钱,他们会不惜一切抓紧时间抓取数据。

    4月8日,一个名为openSSL基础网络传输软件被爆存在重大漏洞,这个漏洞被命名为“心脏出血”,意味着该漏洞像心脏出血一样重大和急迫。黑客通过该漏洞可以获取用户的登陆信息等众多敏感信息。据悉,由于openSSL软件一直较好用且免费,有三成企业在构建网站时使用了这个软件。业内人士预计,有3万家国内网站将受到影响。

    截至昨日,阿里旗下的淘宝和天猫、腾讯、360、京东商城和当当网声明称,已连夜对漏洞进行修复,用户可以正常使用。截止到记者发稿,并未发现账户异常的情况。

    在安全厂商知道创宇提供的“漏洞清单”中,记者看到已对漏洞进行修复的网站包括12306、微信网页版和公众号、QQ邮箱、陌陌、雅虎、比特币中国、支付宝、知乎、淘宝网、360应用等。而YY某服务的漏洞还未进行修复,而在截至昨日下午4点半的清单中,未修复的网站还包括中国电信。

    多数中小型网站未修复

    4月9日上午,360网站卫士的OpenSSL漏洞检测平台发现,北京大学和清华大学某项网络服务存在“心脏出血”漏洞,同时也监测到了有来自北京联通的一个IP针对这些服务进行漏洞探测。

    “大企业对修复漏洞比较积极,但是中小型网站却很难及时修复。”360副总裁谭晓生表示,例如学校网站,截至目前大部分未进行漏洞修复。一部分是由于其构架不能进行升级从而修复漏洞,另一方面则是由于安全人员未给予足够的重视,这将给用户带来较大的风险。

    据了解,黑客攻击“心脏出血”并不需要很高门槛,因为入侵代码已经被公布。入侵者只要有足够的耐心和时间,就可以翻检足够多的数据,拼凑出户主的银行密码、私信等敏感数据。据报道,一位安全行业人士透露,他在某知名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。

    ■专家提醒

    7日、8日登过漏洞网站的用户将受影响

    “4月7日、8日两天登录过存漏洞网站的用户将受到影响。”谭晓生表示,这部分用户可能多达1.5亿至2亿。

    “在7日、8日登录过淘宝、微信、QQ邮箱、京东商城等网站的用户,在看到修复公告后,应修改密码。”谭晓生提醒,对于没有发布已完成修复公告的网站,用户应减少登陆,且不要着急修改密码。

    金山毒霸安全专家李铁军也建议,尽可能开通手机验证或动态密码,登录重要服务,不仅需要验证用户名密码,最好绑定手机,加手机验证码登录。这样就算黑客拿到账户密码,登录还有另一道门槛。安全专家建议,一个密码的使用时间不宜过长,超过3个月就该换掉了。

    手机APP登录会相对安全吗?谭晓生表示答案是否定的。“手机APP用到openSSL软件的占到50%,我们扫描到一万多个网站有问题。”此外,360提醒用户,简单识别网站应用是否采用SSL加密,只需要看浏览器地址栏是http://,还是https://,以https://访问的网站就是用SSL加密的。

    谭晓生表示,未来三到五年,类似于“心脏流血”的事件将会越来越多。病毒、木马、流氓软件将不再是主要威胁。

    ■新闻链接

    银行和银联支付不受影响

    OpenSSL漏洞对网上银行有多大影响?昨天,业内人士对北京晨报记者表示,该漏洞对银行网上支付、银行U盾使用及银联的影响几乎为零。

    昨天有传言称,即便是银行网上支付、U盾、银联支付,也不安全。这让近几天使用过银行网上支付的银行客户没了着落。

    中国金融认证中心应用开发部总经理林峰解释称,OpenSSL漏洞是由于代码实现不严谨造成的。该漏洞存在于OpenSSL1.0.1系列版本中,之前的OpenSSL版本不受影响。天猫、淘宝使用的正是这个系列的版本,所以可以窃取到内存中的数据。

    “如果银行使用了带有该漏洞的OpenSSL开源软件版本,是会有一定的影响。但是这个漏洞只是窃取内存中的数据,银行的用户密码还有一重加密保护,一般不会在SSL服务器解密,所以也就很难拿到银行用户的密码。”

    林峰还表示,OpenSSL的漏洞和U盾的安全性没有直接联系,因为用户的交易敏感信息是通过USB接口送入U盾后,在U盾内部进行加密和数字签名运算,SSL协议是对U盾加密签名后的数据再进行一次传输层的加密。这次OpenSSL的漏洞对U盾没有影响,可以放心使用。

    不过有传言称,中国银联也在此次漏洞的名单之内。昨日,中国银联相关负责人独家回应称,中国银联的系统运维始终坚持行业最高等级安全标准,保障客户信息安全。银联核心跨行交易系统运营基于专用网络,与事件无关。

    该负责人解释道,“银联在线支付”等基于互联网的创新业务系统也未使用OpenSSL技术,而对于个别外围供应商可能存在的OpenSSL漏洞,银联已通过主动排查,在乌云网等技术人士公开前就已协调供应商消除了隐患。持卡人完全可以放心使用银联的各项服务。

    [Source]

    本文系未央网专栏作者发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!

    本文为作者授权未央网发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!

    本文版权归原作者所有,如有侵权,请联系删除。

    评论

    总文章数
    有建议?欢迎留言~
    猜你喜欢

    扫描二维码或搜索微信号“iweiyangx”
    关注未央网官方微信公众号,获取互联网金融领域前沿资讯。