趋势网 > 资讯 > 正文
版权归原作者所有 侵权敬请通知移除
摘要:国内12306铁路客户服务中心、微信公众号、支付宝、淘宝网、360应用、陌陌、雅虎、QQ邮箱、微信网页版、比特币中国、雅虎、知乎等网站的漏洞已经修复完毕。但还有一些网站没有完成修复。
打电话勒索李高家属20万的是骗子
网友:人在柬埔寨,人很安全,意思是他自己自愿去的,在柬埔寨赌场快乐玩耍?
劳斯莱斯女车主不要货车司机赔偿
网友:凭什么有钱人就要自己承担?谁的钱不是自己赚来的?
反诈老陈称当年辞职太冲动
网友:当初有热度其实有很大一部分的原因就是因为他的职业,但是他可能认为是自己的原因,辞职之后铁饭碗没有了,后悔是肯定会后悔的。
已确认超40只宠物狗疑似中毒死亡
网友:无能的人,只知道向更弱小的动物下手。
景区回应将水龙头设计成生殖器形状
网友:关键为啥要设计成这样?谁设计的?
男孩被老师拎到讲台狂扇20多巴掌
网友:怎么这么多代课老师,主科都是代课老师,学校的正式编制是都给校领导用了吗。

趋势网(微博)讯:4月8日,网络安全协议OpenSSL被曝发现严重安全漏洞,诸多公众熟知的电商、支付类接口、社交、门户网站瞬间处于“裸奔”状态,大量网民信息面临泄密风险。互联网“心脏出血”还将持续多久?危害究竟多大?普通用户在此时此刻应当做些什么?新华社记者就此进行了调查。

,媒体人,黑客,网民,电子商务,网媒论坛,网络安全,奇虎,Yahoo,直击互联网“心脏出血”48小时:部分已修复

企业请离员工私生活远一点  44岁农村智障女性遭数次性侵产女  制片人晒王宝强转账记录  

“地震级”网络灾难降临 “心脏出血”抢修进行中

4月8日,在微软XP操作系统正式停服同一天,互联网筑墙被划出一道致命的裂口——常用于电商、支付类接口等安全性极高网站的网络安全协议OpenSSL被曝存在高危漏洞,众多使用https的网站均可能受到影响。

一些人对漏洞严重性还在盲目乐观时,业界知名“白帽子”、北京知道创宇信息技术有限公司研究部总监余弦指出,此漏洞一旦被恶意利用,用户登录这些电商、支付类接口的账户、密码等关键信息都将面临泄露风险。包括公众熟知并且经常访问的微信、淘宝、一些支付类接口、社交、门户等知名网站均受到影响,而且越是知名高的网站,越容易受到不法分子的攻击。

在余弦的电脑屏幕上,网络安全分析系统扫描显示,在中国境内的160余万台服务器中,有33303台受到这一漏洞影响。苏宁、盛大、网易、搜狗、唯品会、比特币中国、微信、豌豆荚……一个个网民常用的甚至依赖的网站纷纷“躺枪”。

余弦告诉记者,这3万多台服务器分布在支付类接口系统、大型电商网站、即时通讯系统和邮箱等这些最重要的网络服务器中。

8日晚,余弦和他的团队守在电脑屏幕前彻夜未眠,安全保卫者们敲击键盘的噼啪声一夜未断。不仅余弦,360、京东(滚动资讯)、微信、支付宝等公司的技术团队也彻夜奋战,和黑客们开展起了一场“你盗我堵”的赛跑,在黑客窃取更多用户数据前赶紧予以修复。

“狼来了”:数据已发生泄露

南京翰海源信息技术有限公司创始人方兴指出:此漏洞事实上非常简单,并不是因为算法被攻破,而是由于程序员在设计时没有做长度检查而产生的内在泄露漏洞。

“新生程序员时常会犯这样的错误。”知道创宇首席执行官杨冀龙如此看待这一问题。

“打个形象的比喻,就像家里的门很坚固也锁好了,但是发现窗户虚掩着。”中国计算机学会计算机安全专业委员会主任严明说,这个漏洞是地震级别的。

知道创宇公司持续在线监测情况显示,虽然大部分公司已有所行动,但仍有部分涉及机构动作迟缓。截至9日晚,知道创宇公司通过监测ZoomEye实时扫描数据分析发现,国内12306铁路客户服务中心、微信公众号、支付宝、淘宝网、360应用、陌陌、雅虎、QQ邮箱、微信网页版、比特币中国、雅虎、知乎等网站的漏洞已经修复完毕。但还有一些网站没有完成修复。

余弦告诉记者,该漏洞并不一定导致用户数据泄露,因为该漏洞只能从内存中读取64K的数据,而重要信息正好落在这个可读取的64K中的几率并不大,但是攻击者可以不断批量地去获取这最新的64K记录,这样就很大程度上可以得到尽可能多的用户隐私信息。

一位安全行业人士透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。

威胁还长期潜伏

余弦坦言,问题在于这个漏洞实际出现在2012年。两年多来,谁也不知道是否已经有黑客利用漏洞获取了用户资料;由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以目前还没有办法确认哪些服务器被入侵过,也就没法定位损失、确认泄露信息。

目前看来,该漏洞确已被很多黑客利用。网络安全领域资深人士透露,由于OpenSSL漏洞的出现,8日、9日的地下交易市场中,各种兜售非法数据的交易显得异常火爆,比如一份某省工程类人员的信息数据,该信息清晰显示出大量人员的姓名、身份证号码等。

记者采访了解到,安全协议OpenSSL最新漏洞的影响仍在持续发酵,截至目前仍有许多网站尚未完成漏洞修复。

杨冀龙建议,在相关网站升级修复前,建议暂且不要登录网购、支付类接口账户,尤其是对那些没有明确采取补救措施的网站,更应该谨慎避免泄密风险。对于一些已经完成升级的网站,用户应当尽快登录网站更改自己的密码等重要信息。

安全人士指出,即使用户之前登录的网站发生了泄密,因为黑客掌握的账号密码数量庞大,短时间内无法消化使用,所以对于单个用户而言尽快更改密码设置是非常必要的。但是,对于一些邮箱类网站,则需再登录邮箱一次,然后点击退出登录,因为黑客利用cookie缓存可直接登录。

家人回应女子月薪4千贷款1400万买房
网友:我一直以为我没买房是因为没钱,现在晓得了,是因为没精神病。
九号公司就无法核销发说明
网友:200多万当广告费也值,因为我第一次知道九号
美媒测算特朗普已获超200张选举人票
网友:之前不是在说势均力敌吗…这差距可是有点大啊。
浙江发生重大刑案当地组织搜山追凶
网友:父母说找个男人结婚可以遮风避雨,结了婚才发现风雨都是男人带来的。
贫困生一年旅游20多地引争议
网友:一边说自己家境一贫如洗,母亲负重,父亲巨债,弟弟还在上小学需要交学费。一边说我自力更生赚的钱一年20次旅行见世面怎么了。不怎么了,你连自己家的疾苦都视而不见还谈什么见世面。 ​
腾冲一酒店拒绝为日本人办理入住
网友:酒店有酒店自己的规定,干嘛要非得破坏人家的规定,日本还有不招待中国人的饭店呢。
浙江发生重大刑案当地组织搜山追凶
受王宝强资助孩子父亲发声
已确认超40只宠物狗疑似中毒死亡
大学生300元抢6399元电车提车被拒
遭学生质问的10人间宿舍条件怎样
女子取现700万给骗子怼民警管的宽
官方通报黑龙江老虎进村咬伤村民
黑龙江老虎进村猛撞门 有人手被咬烂
2岁男童下楼买糖时被人拐走
紫金矿业回应被贩毒集团掠夺3吨黄金
  感谢各大网址导航推荐本站: