互联网爆“心血”漏洞 全球三分之二网站受影响

图：300多名黑客3月21日在日内瓦参加黑客大赛/法新社

　　从美国亚马逊、雅虎，到中国淘宝、微信，全球众多互联网公司周二紧急应对最新发现的互联网漏洞“心血”（Heartbleed）。安全专家们说，“心血”可能是互联网安全史上最致命一击：利用该漏洞，黑客可实时获取很多https开头网址的用户登录帐号密码，涉及购物、网银、微博微信、邮箱等知名网站。目前已有业内人士表示，利用这一漏洞获得了雅虎用户的密码。

　　看到某个网站网址用了https开头，就是採用了SSL安全协议。而OpenSSL，则是为网络通信提供安全及数据完整性的一种安全协议，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，并提供了丰富的应用程序供测试或其他目的使用。换言之，OpenSSL是互联网上销量最大的锁，是旨在保证互联网通讯安全的一种加密协议。而在周一，这把锁出现了“核弹级”的漏洞“心血”。

　　5分钟破200用户密码

　　“心血”影响了互联网的许多方面，因为全球两大网络服务器Apache和nginx都使用OpenSSL。这两种服务器约佔全球网站总数的三分之二。据中国ZoomEye网站统计，全中国有33303个受本次OpenSSL漏洞影响。

　　安全专家们称，“心血”漏洞实际上让黑客能够获得服务器的密钥，而该密钥用于加密通过互联网传递的信息。黑客也可能会潜入服务器内存，一次盗走64千字节（byte）的数据包。只要有足够的耐心，黑客就可以获取足够多的数据，拼凑出访问网站用户的用户名及密码等。

　　在漏洞公开后，信息安全公司Fox-IT的普林斯就通过Twitter表示：“我们已通过‘心血’漏洞获得了雅虎的一个用户名和密码。”而另一名开发者加洛维表示：“运行‘心血’脚本5分钟时间，就获得了雅虎电子邮箱的200个用户名和密码。”

　　内地多家大网站中招

　　在中国，雅虎门户主页、微信公众号、微信网页版、YY 语言、淘宝、网银，陌陌等热门网站均“中招”，只能升级软件修补漏洞。

　　星期二，亚马逊、雅虎、Tumblr和密码管理公司LastPass等企业都表示在给OpenSSL软件打上最近发布的补丁。美国联邦调查局（FBI）称其採用了内容分发网络服务，并表示其伙伴已经给产品打上了补丁。微软的发言人说：微软正密切关注有关OpenSSL安全漏洞的报道，如果他们认定此事给设备和服务带来了影响，他们将採取必要措施保护客户。谷歌的发言人说，该公司已对SSL的弱点进行了评估，并对关键服务发布了补丁程序。

　　少登陆https开头网站

　　不过安全问题研究人员认为，仅仅对OpenSSL软件打补丁并不能奏效。Venafi公司的赫德森说，人们尚未认识到，除非更改所有密钥和证书，否则仍然很容易受到攻击。

　　对于不幸访问了受影响网站的普通网民，专家建议，在未来一两天内，尽量少登陆以https开头的网站，并尽可能少用内地网银服务，避免自己的帐号密码被黑客窃取。如果在近期登陆过，就考虑更换密码，以策安全。与此同时，密切关注个人财务报告，因为黑客有可能获取服务器内存取的信用卡信息，所以要关注银行月结单中的异常扣款。

本站部分内容、观点、图片、文字、视频来自网络，仅供大家学习和交流，真实性、完整性、及时性本站不作任何保证或承诺。如果本站有涉及侵犯您的版权、著作权、肖像权的内容，请联系我们(0536-8337192),我们会立即审核并处理。

我要评论

当前已有loading...个参与

验证码：

• 
  1
• 
  作品
• 
  客片
• 
  客照

• 2021正视离职员工：这五点你需要了解
• 影楼销售想逆袭？先把心态“拿捏”了！
• 2021印度崛起？可能比你想象的还要快...
• 2021连锁零售业如何优化管理劳动力？
• 2021人力资源经理人该如何提升业绩
• 2021员工因公司而加入，却因经理而离开
• 2021我的HR管理原则是“红色的”
• 2021揭开新时代下 HR 的神秘面纱——盖雅工