趋势网 > 资讯 > 正文
版权归原作者所有 侵权敬请通知移除
摘要:国内12306铁路客户服务中心、微信公众号、支付宝、淘宝网、360应用、陌陌、雅虎、QQ邮箱、微信网页版、比特币中国、雅虎、知乎等网站的漏洞已经修复完毕。但还有一些网站没有完成修复。
哈马斯领导人死前疑向无人机扔棍子
网友:右手已经断了,左手也在奋力投出去真的很感动。
前三季度结婚登记同比减少94.3万对
网友:我发现结婚了很多限制,各种手续都要结婚证和对方的签字啥的……不如单身办事儿很方便。
列车撞上野猪 机械师查看被撞身亡
网友:这个说明调度制度安排上有问题,有人在检修,系统不知道。
臭肉学校董事长实控企业26家
网友:本来是很好解决的问题,态度太差。
狗仔曝刘晓庆撒谎送走男保姆三哥
网友:送养老院不是养老吗,难道要刘晓庆亲自照顾才叫养老吗?
19岁中专生拿了个世界冠军当生日礼物
网友:在这本科扫大街的年代,妹妹能以一个中专学历勇夺冠军,实在是优秀,背后付出了多少努力可想而知。

趋势网(微博)讯:4月8日,网络安全协议OpenSSL被曝发现严重安全漏洞,诸多公众熟知的电商、支付类接口、社交、门户网站瞬间处于“裸奔”状态,大量网民信息面临泄密风险。互联网“心脏出血”还将持续多久?危害究竟多大?普通用户在此时此刻应当做些什么?新华社记者就此进行了调查。

,媒体人,黑客,网民,电子商务,网媒论坛,网络安全,奇虎,Yahoo,直击互联网“心脏出血”48小时:部分已修复

特朗普赢得2024美国大选  14岁男孩电梯内捂嘴猥亵女童被拘  2024美国大选选举日投票正式开始  

“地震级”网络灾难降临 “心脏出血”抢修进行中

4月8日,在微软XP操作系统正式停服同一天,互联网筑墙被划出一道致命的裂口——常用于电商、支付类接口等安全性极高网站的网络安全协议OpenSSL被曝存在高危漏洞,众多使用https的网站均可能受到影响。

一些人对漏洞严重性还在盲目乐观时,业界知名“白帽子”、北京知道创宇信息技术有限公司研究部总监余弦指出,此漏洞一旦被恶意利用,用户登录这些电商、支付类接口的账户、密码等关键信息都将面临泄露风险。包括公众熟知并且经常访问的微信、淘宝、一些支付类接口、社交、门户等知名网站均受到影响,而且越是知名高的网站,越容易受到不法分子的攻击。

在余弦的电脑屏幕上,网络安全分析系统扫描显示,在中国境内的160余万台服务器中,有33303台受到这一漏洞影响。苏宁、盛大、网易、搜狗、唯品会、比特币中国、微信、豌豆荚……一个个网民常用的甚至依赖的网站纷纷“躺枪”。

余弦告诉记者,这3万多台服务器分布在支付类接口系统、大型电商网站、即时通讯系统和邮箱等这些最重要的网络服务器中。

8日晚,余弦和他的团队守在电脑屏幕前彻夜未眠,安全保卫者们敲击键盘的噼啪声一夜未断。不仅余弦,360、京东(滚动资讯)、微信、支付宝等公司的技术团队也彻夜奋战,和黑客们开展起了一场“你盗我堵”的赛跑,在黑客窃取更多用户数据前赶紧予以修复。

“狼来了”:数据已发生泄露

南京翰海源信息技术有限公司创始人方兴指出:此漏洞事实上非常简单,并不是因为算法被攻破,而是由于程序员在设计时没有做长度检查而产生的内在泄露漏洞。

“新生程序员时常会犯这样的错误。”知道创宇首席执行官杨冀龙如此看待这一问题。

“打个形象的比喻,就像家里的门很坚固也锁好了,但是发现窗户虚掩着。”中国计算机学会计算机安全专业委员会主任严明说,这个漏洞是地震级别的。

知道创宇公司持续在线监测情况显示,虽然大部分公司已有所行动,但仍有部分涉及机构动作迟缓。截至9日晚,知道创宇公司通过监测ZoomEye实时扫描数据分析发现,国内12306铁路客户服务中心、微信公众号、支付宝、淘宝网、360应用、陌陌、雅虎、QQ邮箱、微信网页版、比特币中国、雅虎、知乎等网站的漏洞已经修复完毕。但还有一些网站没有完成修复。

余弦告诉记者,该漏洞并不一定导致用户数据泄露,因为该漏洞只能从内存中读取64K的数据,而重要信息正好落在这个可读取的64K中的几率并不大,但是攻击者可以不断批量地去获取这最新的64K记录,这样就很大程度上可以得到尽可能多的用户隐私信息。

一位安全行业人士透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。

威胁还长期潜伏

余弦坦言,问题在于这个漏洞实际出现在2012年。两年多来,谁也不知道是否已经有黑客利用漏洞获取了用户资料;由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以目前还没有办法确认哪些服务器被入侵过,也就没法定位损失、确认泄露信息。

目前看来,该漏洞确已被很多黑客利用。网络安全领域资深人士透露,由于OpenSSL漏洞的出现,8日、9日的地下交易市场中,各种兜售非法数据的交易显得异常火爆,比如一份某省工程类人员的信息数据,该信息清晰显示出大量人员的姓名、身份证号码等。

记者采访了解到,安全协议OpenSSL最新漏洞的影响仍在持续发酵,截至目前仍有许多网站尚未完成漏洞修复。

杨冀龙建议,在相关网站升级修复前,建议暂且不要登录网购、支付类接口账户,尤其是对那些没有明确采取补救措施的网站,更应该谨慎避免泄密风险。对于一些已经完成升级的网站,用户应当尽快登录网站更改自己的密码等重要信息。

安全人士指出,即使用户之前登录的网站发生了泄密,因为黑客掌握的账号密码数量庞大,短时间内无法消化使用,所以对于单个用户而言尽快更改密码设置是非常必要的。但是,对于一些邮箱类网站,则需再登录邮箱一次,然后点击退出登录,因为黑客利用cookie缓存可直接登录。

家电纸板箱竟是隐形财富
网友:没想到啊,感觉去做再生资源回收,资源整合与再利用的职业不错。
蒂芙尼成都太古里店被砸
网友:抑郁症不会打砸,躁郁症会,但必须有外部因素刺激,无缘无故冲进店里的,这是零元购。
网友:要不川哥当总统 哈姐接着干副总统,连职位和办公室都不用换,岂不美哉。
摩托司机等红绿灯被撞身亡
网友:摩托司机太可怜了,无妄之灾。
短效避孕药祛痘是很常规的用法
网友:有概率长斑的,我吃短效把痘痘治好了颧骨多了一点斑,更烦了。
美国大选选举日所有投票结束
网友:建国赢了对中国未必是好事。
2024美国大选选举日投票正式开始
美国大选选举日所有投票结束
美国请求中国出借月壤
蒂芙尼成都太古里店被砸
河北一女生晚上就餐时疑遭醉汉殴打
寻亲走红的郁豹豹已与家人决裂
考研报名禁止使用海马体照片
上海某中学疑似调查学生家庭背景阶层
黑寡妇召集复仇者联盟支持哈里斯
特朗普被马斯克通知或遭暗杀
  感谢各大网址导航推荐本站: