banner
蒙汗藥哪裏買

互联网“心脏出血”, 暂时不要登录网银账户

來源:未知 作者:fuyu922  時間:2014-04-11 10:42 人氣:

据新华社北京4月10日电 4月8日,常用于电商、支付类接口等安全性极高网站的网络安全协议OpenSSL被曝存在高危漏洞,众多使用https的网站均受影响,大量用户信息陷于“裸奔”,引发网民恐慌。根据初步评估,国内有不少于30%的网站会中招,将有至少2亿互联网用户会受到影响,包括用户最常用的网络支付、网络购物、网银、邮箱等服务都将面临巨大威胁。
 
记者采访了解到,在网站和安全厂商的协作下,三分之一受影响的服务器已完成修复,使众多网友陷入恐慌的“心脏失血”正趋于可控。
 
互联网被曝“心脏出血”
 
4月8日,网络安全协议OpenSSL被曝存在堪称“心脏出血”的高危漏洞。
 
关于此次漏洞的严重性,北京知道创宇信息技术有限公司研究部总监余弦表示,OpenSSL协议常用于安全性极高的网站,此漏洞一旦被恶意利用,用户登录这些电商、网银的账户、密码等关键信息都将面临泄露风险。
 
余弦告诉记者,大量使用https的网站将受到影响,而且越是知名的大网站,越容易受到不法分子攻击。监测发现,在中国境内的160余万台服务器中,有33303台受到这一漏洞影响,尽管占比不大,但这3万多台服务器分布在支付类接口系统、大型电商网站、即时通讯系统和邮箱这些最重要的网络服务器中,其影响范围包括常用的网银及诸多知名网站,微信、支付宝、陌陌等均在其列。
 
面对此次被称为“心脏出血”的高危漏洞,中国计算机学会计算机安全专业委员会主任严明说,这个漏洞是地震级别的,就像家里的门很坚固也锁好了,但是发现窗户虚掩着。
 
业内:部分信息已被窃
 
余弦告诉记者,该漏洞并不一定导致用户数据泄露,因为该漏洞只能从内存中读取64K的数据,而重要信息正好落在这个可读取的64K中的几率并不大,但是攻击者可以不断批量地去获取最新的64K记录,这样就可以得到尽可能多的用户隐私信息。一位安全行业人士透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。
 
余弦坦言,问题在于这个漏洞出现于2012年,至今两年多,谁也不知道是否已经有黑客利用漏洞获取了用户资料;该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以目前还没有办法确认哪些服务器被入侵,也就没法定位损失、确认泄露信息。
 
目前看来,该漏洞确已被很多黑客利用。网络安全领域资深人士透露,由于OpenSSL漏洞的出现,在8日、9日地下交易市场中,各种兜售非法数据的交易显得异常火爆,比如一份某省工程类人员的信息数据,清晰显示出大量人员的姓名、身份证号码等。北京知道创宇信息技术有限公司首席执行官杨冀龙说,目前的监测显示,某宝的网站被黑客盗取了1T的内存,雅虎邮箱的大量账户密码也曝已经泄露。
 
三分之一服务器完成修补
 
面对“地震级”漏洞,各网站和安全厂商均采取紧急措施,目前整体形势已趋于可控。
 
据了解,截至9日晚,国内12305铁路客户服务中心、微信公众号、支付宝、淘宝网、360应用、陌陌、雅虎、QQ邮箱、微信网页版、比特币中国、雅虎、知乎等网站的漏洞已经修复完毕。
 
知道创宇公司工作人员表示,由于这些大的互联网厂商和运营商服务器比较多,他们一修补,我国受到影响的服务器三分之一已完成了修补,整体情况趋于可控。
 
专家建议,在相关网站升级修复前,建议暂且不要登录网购、网银账户,尤其是对那些没有明确采取补救措施的网站,更应该谨慎避免泄密风险。对于一些已经完成升级的网站,用户应当尽快登录网站更改自己的密码等重要信息。
 
专家指出,即使用户之前登录的网站发生泄密,因为黑客掌握的账号密码的数量庞大,短时间内无法消化使用,所以对于单个用户而言尽快更改密码设置是非常必要的。但是,对于一些邮箱类网站,即使更改密码可能也无济于事,因为如果黑客已经偷走了cookie缓存,用这个可以直接登录邮箱。建议用户对邮箱再登录一次,然后点击退出登录,减少风险。
 
知多D
 
心脏出血
 
“心脏出血”是黑客对近期发现的OpenSSL协议漏洞的戏称,OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,在世界范围内被广泛使用,包括腾讯、支付宝在内的国内主要网站,也在使用这一协议。
 
据了解,SSL是一种加密技术,可以保护用户通过互联网传输的隐私信息。据悉,目前多数SSL加密的网站都是用名为OpenSSL的软件包,此次OpenSSL被曝的漏洞可以让攻击者获得服务器上64K内存中的数据,其中可能包括安全证书、用户名和密码等敏感信息。