全球互联网“心脏出血”，这两天别用网银 支付宝

前晚，北京知道创宇公司的钟晨鸣守在电脑屏幕前彻夜未眠。作为一家安全企业研究部总监，他一直在关注为互联网服务器体检的结果。网络安全分析系统扫描显示，中国境内160余万台服务器中，有33303台受到一个巨大漏洞影响！可怕的是，这三万多台服务器分布在网银系统、第三方支付、大型电商网站、即时通讯系统和邮箱这些最重要的网络服务器中。

　　另一位叫朱欣愚的安全专家，前晚也没有睡觉。他在知乎上透露，在某著名电商网站上，他仅读取200次就获得40多个用户名和7个密码。

　　创宇是“邪红色信息安全组织”的成员。前晚，这个组织几乎全员不眠。他们测试发现，淘宝、微信、12306购票，还有多个网银都出现问题。

　　这些场景，只是一场网络地震的一个角落。还有无数专家、黑客和网络公司的维护人员，都无法入睡。而造成这一切的，是一个被命名为“heartbleed”的巨大安全漏洞，这个名字很形象，翻译过来就是—心脏出血。

　　可是，对于这一切，多数网民却懵然不知。即使看到新闻，也多半只能对着满屏术语茫然无措。因为，在国外网站迅速向用户公告漏洞存在，到修复漏洞，再到提醒更改密码这个过程中，国内尚未发现哪个网站主动公告真相，仿佛一切尽在掌握。

　　“心脏出血”的威胁有多大？

　　抛开术语 让我们来谈点实在的

　　“心脏出血”漏洞，是由安全公司Codenomicon和谷歌安全工程师发现的。

　　这个漏洞堪称网络核弹，因为它出现在本来用于保护账户安全的系统中。利用该漏洞，黑客可以实时获取到很多以HTTPS开头网址的用户登录账号密码。包括大批网银、知名购物网站、电子邮件等。对于这个新华社形容为“地震级”灾害的漏洞，多家安全厂商表示发布紧急预警，提醒各大互联网服务商尽快修复该漏洞。

　　昨日，这个新闻让不少网友心惊肉跳，但也有不少人不以为然。那么，事实究竟如何？

　　“心脏出血”是一个OpenSSL漏洞。OpenSSL是为网络通信提供安全及数据完整性的一种安全协议，在网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。无论用户电脑多么安全，只要网站使用了存在漏洞的OpenSSL版本，用户在该网站输入账号密码时就可能被黑客实时监控到。

　　换句话说，你在银行卡内的资金、第三方支付和电商网站里的余额、积分等财产，都受到了威胁。而且黑客还可以利用该漏洞冒充服务器，诱使用户泄露他们的信息。

　　所以，网上的传言并非危言耸听。

　　我们能怎么防范？

　　首先等待 然后改密码

　　“心脏出血”利用的是服务器漏洞，能得到的也是服务器缓存中的用户名和密码。如果你在网站修复漏洞前登录，就可能被黑客监控到你的账户。利用该漏洞并不难。普林斯顿大学计算机科学家艾德·费尔腾透露，利用该漏洞的软件遍布于网络，任何有编程基础的人都知道怎么使用。

　　费尔腾表示，针对“心脏出血”最有效的防范方法，就是在网站宣布修复漏洞前，不要登录（可浏览，但不要输账户密码）。如果近日已经登录过重要网站，最好在漏洞修复后更改密码。

　　另外有国内安全人士表示，如果近日确实需要进行网络支付，最好启用银行U盾，支付宝支付盾、手机检验码一类安全服务。并在漏洞修复后更改密码。

　　之所以要改密码，是因为你的账户名和密码、电话号码、身分证号码、银行账号都可能已经泄露。即使有其他安全措施，也同样有不小几率被黑客有针对的攻陷。

　　需要注意的是，不仅使用电脑登录可能泄露信息，使用手机、平板电脑等登录同样可能“中招”。

　　哪些网站已被发现有漏洞？

　　昨天，钟晨鸣公布了一张“心脏已经出血”的部分网站名单，苏宁、盛大、网易、搜狗、唯品会、比特币中国、微信、豌豆荚等都在其中。

　　“邪红色信息安全组织”也公布了一些被发现漏洞的服务器。

　　包括：淘宝、微信、雅虎、YY语音、陌陌、12306新版订票系统，以及多个网银、社交网站和即时通讯平台。

　　哪些网站已经修复

　　由于“心脏出血”漏洞只存在于部分OpenSSL版本中，不是所有网站都有危险。不过据“邪红色”表示，他们发现漏洞影响的HTTPS服务，比例达到30%~50%。此外，目前淘宝、腾讯、网易已修复了漏洞。

　　云安全平台百度加速乐昨天对媒体表示，他们已进行升级，目前所有使用百度加速乐服务的SSL站点不受影响。我们查询百度加速乐网站发现，使用其服务的常用网站，有智联招聘、穷游网、五游网、国家公务员网等。

　　此外，支付宝也对媒体表示，他们使用的版本是没有漏洞的。

　　编后

　　主页君，请告诉我们要不要改密码

　　昨天，钟晨鸣表示，他已将三万多台“带病”服务器的名单，提交给国家互联网应急中心，由后者进行全国预警。但到昨天22点为止，我们没有在国家互联网应急中心网站看到相关公告。该中心一名专家坦陈，中心2003年起就试图建立漏洞触发的相关应急工作和能力，但到现在也不够清晰。

　　我们也登录了腾讯、淘宝、苏宁、微信、12306、网易、盛大等被指有漏洞的网站，也没有看到任何相关提醒、公告、说明。

　　与之相对的，是国外企业的做法。

　　微软发言人在漏洞发布当天就宣称，正在跟进问题报告，“确定它对我们的设备与服务造成的影响，我们会采取必要的措施来保护我们的用户。”

　　雅虎发言人也在昨天公布，已经在雅虎的各个主要网站成功完成修复漏洞，正在针对公司旗下其他网站实施修复。

　　著名云平台厂家Heroku则在当天修复漏洞后，马上提醒用户更改密码。

　　“心脏出血”虽然可怕，但这个漏洞检查起来非常快，修复难度也不高。但却没人愿意简单地用一句话告诉我们，是否有必要更改密码。回想起此前暴发过的服务器漏洞，同样每一次都让我们处于懵然无知的状态。

　　比“心脏出血”更可怕的是，我们不知道这种状态还要持续多久。

惊悚啊。。。这消息看着

偷穷人钱的都是垃圾,偷富豪钱的都是英雄

早上新闻说，8、9号登陆过的都要修改一下密码

男人浪漫 发表于 14-4-11 08:33
偷穷人钱的都是垃圾,偷富豪钱的都是英雄

富豪的钱都是自己挣的，偷官员的钱最安全，被偷了也不敢报警！

男人浪漫 发表于 14-4-11 08:33
偷穷人钱的都是垃圾,偷富豪钱的都是英雄

有屌丝者 得天下  马云 是 经典案例

苗苗 发表于 14-4-11 08:49
早上新闻说，8、9号登陆过的都要修改一下密码

我在手机上登陆 微社区 就是需要输入