4月8日,常用于電商、支付類接口等安全性極高網站的網絡安全協議OpenSSL被曝存在高危漏洞,眾多使用https的網站均受影響,大量用戶信息陷于“裸奔”,引發網民恐慌。記者采訪了解到,在網站和安全廠商的協作下,三分之一受影響的網站已完成修復,使眾多網友陷入恐慌的“心臟失血”正趨于可控。
面對此次被稱為“心臟出血”的高危漏洞,中國計算機學會計算機安全專業委員會主任嚴明說,這個漏洞是地震級別的,就像家里的門很堅固也鎖好了,但是發現窗戶虛掩著。
南京翰海源信息技術有限公司創始人方興表示,此漏洞并不是因為算法被攻破,而是由于程序員在設計時沒有做長度檢查而產生漏洞,其危害性不容小覷。
北京知道創宇信息技術有限公司研究部總監余弦坦言,問題在于這個漏洞出現于2012年,至今兩年多,誰也不知道是否已經有黑客利用漏洞獲取了用戶資料;該漏洞即使被入侵也不會在服務器日志中留下痕跡,所以目前還沒有辦法確認哪些服務器被入侵,也就沒法定位損失、確認泄露信息。
目前看來,該漏洞確已被很多黑客利用。網絡安全領域資深人士透露,由于OpenSSL漏洞的出現,在8日、9日地下交易市場中,各種兜售非法數據的交易顯得異常火爆,比如一份某省工程類人員的信息數據,清晰顯示出大量人員的姓名、身份證號碼等。北京知道創宇信息技術有限公司首席執行官楊冀龍說,目前的監測顯示,某寶的網站被黑客盜取了1T的內存,雅虎郵箱的大量賬戶密碼也曝已經泄露。
面對“地震級”漏洞,各網站和安全廠商均采取緊急措施,目前整體形勢已趨于可控。
專家指出,即使用戶之前登陸的網站發生泄密,因為黑客掌握的賬號密碼的數量龐大,短時間內無法消化使用,所以對于單個用戶而言盡快更改密碼設置是非常必要的。但是,對于一些郵箱類網站,即使更改密碼可能也無濟于事,因為如果黑客已經偷走了cookie緩存,用這個可以直接登錄郵箱。建議用戶對郵箱再登陸一次,然后點擊退出登陸,減少風險。
京公網安備 11010502049343號