“核弹级”安全漏洞危及两亿用户

长江商报消息 漏洞威胁网银、淘宝、微信等安全；用户这几天尽量别登录网络账户

本报讯（记者 杨金金 常燕）昨日，许多网站使用的OpenSSL安全协议爆出本年度最严重的安全漏洞。利用该漏洞，黑客坐在自己家里电脑前，就可以实时获取到很多以https开头网址的用户登录账号和密码。7日、8日，约两亿网友访问了存在该漏洞的网站。

对于这“毁灭性的”安全漏洞，多家安全厂商发布紧急预警，提醒各大互联网服务商尽快修复。360也推出在线检查工具、等三大保护措施。

昨日，绿盟安全专家，微软安全“赏金猎手”10万美元大奖得主于旸、乌云平台联合创始人孟卓表示，“黑客们在网站修复前所抓取到的数据会在未来几天里被分析、提取、利用。”

360安全专家石晓虹博士称， OpenSSL漏洞被命名为“心脏出血”漏洞，堪称“网络核弹”。基本上大家所熟悉的网站都受到了影响，包括支付宝、淘宝、微信网页版、YY语音、雅虎等。

据360网站安全检测平台扫描，国内大概有3.3万台服务器受到这个漏洞的影响，全球约有71万台主机被侵袭。

昨日下午4时许，于旸发微博称，“刚才写了个脚本简单跑了跑，一分钟就从某巨型购物网站的登录服务器上抓到若干组明文用户名和密码，可成功登录。幸好有手机验证这一关挡着。”

另有安全行业人士称，他在某著名电商网站上尝试用这个漏洞读取200次数据后，获得了40多个用户名、7个密码。

■回应

腾讯、阿里称修复完毕

昨日上午，腾讯安全应急响应中心回应称，“腾讯已在第一时间进行处理，财付通、QQ、微信等都已经修复完毕。” 下午1时，阿里安全也表示处理完毕，淘宝、天猫、支付宝等都可以使用。

360推出三大保护措施，提醒站长尽快将OpenSSL升级至1.0.1g 版本，并推出在线检查工具，输入网址就能够检测网站是否存在该漏洞。同时开通了热线电话4000366588，为用户提供免费技术支持。

■提醒

用户暂时别登录网络账户

市民程女士除了网购用网银外，还购买了余额宝，“像我这样的网络常客是不是中招几率更大？”

乌云平台联合创始人孟卓建议，“用户暂时不要登录网络账户。”

银行人士称，网络银行的技术实力、架构比较强，安全系数要高一些。但还是提醒用户，要不定期修改网银密码。此外，在收到涉及网银账户的邮件和信息时，先打电话给银行客服确认。

什么是SSL？

SSL是一种流行的加密技术，当用户访问安全网站时，会在地址栏旁看到一个锁，表明你在该网站的通讯信息是被加密的。通过SSL加密的数据只有接收者才能解密。

一分钟读懂OpenSSL安全漏洞

什么是“心脏出血”漏洞？

多数SSL加密的网站都使用名为OpenSSL的开源软件包。SSL标准包含一个心跳选项，允许SSL连接一端的电脑发出一条简短的信息，确认另一端的电脑仍然在线并获取反馈。研究人员发现，可以通过技术手段发出恶意心跳信息，欺骗另一端电脑泄露信息。

会造成什么影响？

通过这个漏洞，可以泄露以下内容：一是私钥，所有https站点的加密内容全能破解；二是网站用户密码、用户资产如网银隐私数据；三是服务器配置和源码，服务器可以被攻破。

用户如何应对？

普通网民对这个漏洞是无能为力的。网站升级OpenSSL软件、网站修复后，用户可以更改密码。

企业用户可以用一台专用电脑，除了操作和使用网银外不做其他用途，同时封闭电脑的各种输入输出设备如软驱、光驱和USB接口，防止感染病毒。

责编：ZB