趋势网 > 资讯 > 正文
版权归原作者所有 侵权敬请通知移除
摘要:国内12306铁路客户服务中心、微信公众号、支付宝、淘宝网、360应用、陌陌、雅虎、QQ邮箱、微信网页版、比特币中国、雅虎、知乎等网站的漏洞已经修复完毕。但还有一些网站没有完成修复。
女子收骗子礼物后立即删了骗子
网友:够机警,大家要是都懂这么做,骗子就破产了。
张馨予老公何捷被证实已转业
网友:如果不是会直接说不是吧,不方便透露就已经透露了。
李行亮被活动除名 文旅厅:投诉较多
网友:李麦两人应该挺后悔的吧,本来就没打算离婚,只想上节目提高知名度,没想到反而把名声搞臭了。
中国商人在缅甸被绑妻子阻拦遭拖行
网友:这次缅甸警方给力啊。
疑似可可西里网红狼被大货车压死
网友:只是想讨口吃的,却把命给搭上了,太难受了。
俄称阿萨德已放弃叙利亚总统职位
网友:这次进度快得诡异更像是阿萨德开摆自爆,但是攻城容易守城难,后续还有的乱了。

趋势网(微博)讯:4月8日,网络安全协议OpenSSL被曝发现严重安全漏洞,诸多公众熟知的电商、支付类接口、社交、门户网站瞬间处于“裸奔”状态,大量网民信息面临泄密风险。互联网“心脏出血”还将持续多久?危害究竟多大?普通用户在此时此刻应当做些什么?新华社记者就此进行了调查。

,媒体人,黑客,网民,电子商务,网媒论坛,网络安全,奇虎,Yahoo,直击互联网“心脏出血”48小时:部分已修复

突发:美军战斗机被击落  山姆代购每月返现可高达万元  波司登700元羽绒裤仅3克绒  

“地震级”网络灾难降临 “心脏出血”抢修进行中

4月8日,在微软XP操作系统正式停服同一天,互联网筑墙被划出一道致命的裂口——常用于电商、支付类接口等安全性极高网站的网络安全协议OpenSSL被曝存在高危漏洞,众多使用https的网站均可能受到影响。

一些人对漏洞严重性还在盲目乐观时,业界知名“白帽子”、北京知道创宇信息技术有限公司研究部总监余弦指出,此漏洞一旦被恶意利用,用户登录这些电商、支付类接口的账户、密码等关键信息都将面临泄露风险。包括公众熟知并且经常访问的微信、淘宝、一些支付类接口、社交、门户等知名网站均受到影响,而且越是知名高的网站,越容易受到不法分子的攻击。

在余弦的电脑屏幕上,网络安全分析系统扫描显示,在中国境内的160余万台服务器中,有33303台受到这一漏洞影响。苏宁、盛大、网易、搜狗、唯品会、比特币中国、微信、豌豆荚……一个个网民常用的甚至依赖的网站纷纷“躺枪”。

余弦告诉记者,这3万多台服务器分布在支付类接口系统、大型电商网站、即时通讯系统和邮箱等这些最重要的网络服务器中。

8日晚,余弦和他的团队守在电脑屏幕前彻夜未眠,安全保卫者们敲击键盘的噼啪声一夜未断。不仅余弦,360、京东(滚动资讯)、微信、支付宝等公司的技术团队也彻夜奋战,和黑客们开展起了一场“你盗我堵”的赛跑,在黑客窃取更多用户数据前赶紧予以修复。

“狼来了”:数据已发生泄露

南京翰海源信息技术有限公司创始人方兴指出:此漏洞事实上非常简单,并不是因为算法被攻破,而是由于程序员在设计时没有做长度检查而产生的内在泄露漏洞。

“新生程序员时常会犯这样的错误。”知道创宇首席执行官杨冀龙如此看待这一问题。

“打个形象的比喻,就像家里的门很坚固也锁好了,但是发现窗户虚掩着。”中国计算机学会计算机安全专业委员会主任严明说,这个漏洞是地震级别的。

知道创宇公司持续在线监测情况显示,虽然大部分公司已有所行动,但仍有部分涉及机构动作迟缓。截至9日晚,知道创宇公司通过监测ZoomEye实时扫描数据分析发现,国内12306铁路客户服务中心、微信公众号、支付宝、淘宝网、360应用、陌陌、雅虎、QQ邮箱、微信网页版、比特币中国、雅虎、知乎等网站的漏洞已经修复完毕。但还有一些网站没有完成修复。

余弦告诉记者,该漏洞并不一定导致用户数据泄露,因为该漏洞只能从内存中读取64K的数据,而重要信息正好落在这个可读取的64K中的几率并不大,但是攻击者可以不断批量地去获取这最新的64K记录,这样就很大程度上可以得到尽可能多的用户隐私信息。

一位安全行业人士透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。

威胁还长期潜伏

余弦坦言,问题在于这个漏洞实际出现在2012年。两年多来,谁也不知道是否已经有黑客利用漏洞获取了用户资料;由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以目前还没有办法确认哪些服务器被入侵过,也就没法定位损失、确认泄露信息。

目前看来,该漏洞确已被很多黑客利用。网络安全领域资深人士透露,由于OpenSSL漏洞的出现,8日、9日的地下交易市场中,各种兜售非法数据的交易显得异常火爆,比如一份某省工程类人员的信息数据,该信息清晰显示出大量人员的姓名、身份证号码等。

记者采访了解到,安全协议OpenSSL最新漏洞的影响仍在持续发酵,截至目前仍有许多网站尚未完成漏洞修复。

杨冀龙建议,在相关网站升级修复前,建议暂且不要登录网购、支付类接口账户,尤其是对那些没有明确采取补救措施的网站,更应该谨慎避免泄密风险。对于一些已经完成升级的网站,用户应当尽快登录网站更改自己的密码等重要信息。

安全人士指出,即使用户之前登录的网站发生了泄密,因为黑客掌握的账号密码数量庞大,短时间内无法消化使用,所以对于单个用户而言尽快更改密码设置是非常必要的。但是,对于一些邮箱类网站,则需再登录邮箱一次,然后点击退出登录,因为黑客利用cookie缓存可直接登录。

女子目睹母亲车祸受惊吓5天后身亡
网友:事故具体情况是咋回事?交警认定双方同等责任的话,一般是行人的责任,机动车是自动担责。
悉尼机场附近发现一具女性尸体
网友:人群中不一定都是人,要时刻有一分清醒。
高校学生买7件演出服穿完集体退货
网友:用过还搞脏了影响二次销售不该退货。
多地医护和公职人员被指参与代孕
网友:他真的是个勇士,但最后可能还是不了了之。
网红收入超千万报税竟未达5000元
网友:为什么那么多人想要做网红?连多少明星都在带货,这其中的利益可想而知。
美国一男子在地铁把一女子点燃
网友:之前国内还有一些人呼吁取消安检,这下纽约地铁就是反面教材,回旋镖虽迟但到。 ​
  感谢各大网址导航推荐本站: