4月8日,網絡安全協(xié)議OpenSSL被曝發(fā)現(xiàn)嚴重安全漏洞,諸多公眾熟知的電商、支付類接口�、社交、門戶網站瞬間處于“裸奔”狀態(tài),大量網民信息面臨泄密風險�。互聯(lián)網“心臟出血”還將持續(xù)多久?危害究竟多大?普通用戶在此時此刻應當做些什么?新華社記者就此進行了調查���。
“地震級”網絡災難降臨 “心臟出血”搶修進行中
4月8日,在微軟XP操作系統(tǒng)正式停服同一天,互聯(lián)網筑墻被劃出一道致命的裂口——常用于電商�����、支付類接口等安全性極高網站的網絡安全協(xié)議OpenSSL被曝存在高危漏洞,眾多使用https的網站均可能受到影響���。
一些人對漏洞嚴重性還在盲目樂觀時,業(yè)界知名“白帽子”���、北京知道創(chuàng)宇信息技術有限公司研究部總監(jiān)余弦指出,此漏洞一旦被惡意利用,用戶登錄這些電商、支付類接口的賬戶�、密碼等關鍵信息都將面臨泄露風險。包括公眾熟知并且經常訪問的微信��、淘寶�����、一些支付類接口��、社交����、門戶等知名網站均受到影響,而且越是知名高的網站,越容易受到不法分子的攻擊。
在余弦的電腦屏幕上,網絡安全分析系統(tǒng)掃描顯示,在中國境內的160余萬臺服務器中,有33303臺受到這一漏洞影響���。蘇寧��、盛大����、網易、搜狗���、唯品會���、比特幣中國�����、微信�����、豌豆莢……一個個網民常用的甚至依賴的網站紛紛“躺槍”���。
余弦告訴記者,這3萬多臺服務器分布在支付類接口系統(tǒng)���、大型電商網站、即時通訊系統(tǒng)和郵箱等這些最重要的網絡服務器中�����。
8日晚,余弦和他的團隊守在電腦屏幕前徹夜未眠,安全保衛(wèi)者們敲擊鍵盤的噼啪聲一夜未斷。不僅余弦,360���、京東�����、微信�����、支付寶等公司的技術團隊也徹夜奮戰(zhàn),和黑客們開展起了一場“你盜我堵”的賽跑,在黑客竊取更多用戶數(shù)據(jù)前趕緊予以修復���。
“狼來了”:數(shù)據(jù)已發(fā)生泄露
南京翰海源信息技術有限公司創(chuàng)始人方興指出:此漏洞事實上非常簡單,并不是因為算法被攻破,而是由于程序員在設計時沒有做長度檢查而產生的內在泄露漏洞。
“新生程序員時常會犯這樣的錯誤�。”知道創(chuàng)宇首席執(zhí)行官楊冀龍如此看待這一問題。
“打個形象的比喻,就像家里的門很堅固也鎖好了,但是發(fā)現(xiàn)窗戶虛掩著����。”中國計算機學會計算機安全專業(yè)委員會主任嚴明說,這個漏洞是地震級別的。
知道創(chuàng)宇公司持續(xù)在線監(jiān)測情況顯示,雖然大部分公司已有所行動,但仍有部分涉及機構動作遲緩����。截至9日晚,知道創(chuàng)宇公司通過監(jiān)測ZoomEye實時掃描數(shù)據(jù)分析發(fā)現(xiàn),國內12306鐵路客戶服務中心����、微信公眾號�����、支付寶�����、淘寶網�����、360應用����、陌陌�、雅虎、QQ郵箱����、微信網頁版、比特幣中國、雅虎�����、知乎等網站的漏洞已經修復完畢����。但還有一些網站沒有完成修復。
余弦告訴記者,該漏洞并不一定導致用戶數(shù)據(jù)泄露,因為該漏洞只能從內存中讀取64K的數(shù)據(jù),而重要信息正好落在這個可讀取的64K中的幾率并不大,但是攻擊者可以不斷批量地去獲取這最新的64K記錄,這樣就很大程度上可以得到盡可能多的用戶隱私信息�。
|
