2亿网民网银密码或中招,年度最严重安全漏洞

“心脏出血”:OpenSSL的源代码中存在一个漏洞,可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中,可能存有安全证书、用户名与密码等数据。
OpenSSL:是目前互联网上应用最广泛的安全传输方法。可以形象地说,它是互联网上销量最大的门锁。

年度最严重安全漏洞“心脏出血”波及2亿网民

导读:OpenSSL日前被曝出本年度最危险的安全漏洞,初步评估有不少于30%的网站中招,其中包括网友们最常用的购物、网银、社交、门户等知名网站和服务。利用这一被命名为“心脏出血”的漏洞,黑客可以获取到以https开头网址的用户登录账号和密码、cookie等敏感数据。“心脏出血”漏洞将影响至少两亿中国网民。

昨天,安全协议OpenSSL爆出本年度最严重的安全漏洞“心脏出血”。利用该漏洞,黑客坐在自己家里电脑前,就可以实时获取到很多https开头网址的用户登录账号密码,包括网银、知名购物网站、电子邮件等信息。昨天下午,国内大量网站已开始紧急修复此OpenSSL高危漏洞,中国金融认证中心则发文表示,网银受到的影响较少,U盾可以放心使用。

事件·影响

国内2亿网民面临泄密风险

3万多个网站主机受威胁

4月7日凌晨,国内就出现了针对OpenSSL“心脏出血”漏洞的黑客攻击迹象。据360网站安全检测平台对国内120万家经过授权的网站扫描,其中有11440个网站主机受该漏洞影响。4月7日、4月8日期间,共计约2亿网民访问了存在OpenSSL漏洞的网站。

事实上,最新的调查显示,4月7日凌晨,国内就出现了针对OpenSSL“心脏出血”漏洞的黑客攻击迹象。360网站安全检测平台对国内120万家经过授权的网站扫描,其中有3万多个网站主机受漏洞影响。4月7日、4月8日期间,共计约2亿网友访问了存在漏洞的网站。

360安全专家石晓虹博士表示,OpenSSL此漏洞堪称“网络核弹”,网银、网购、网上支付、邮箱等都会受到影响。因为有很多隐私信息都存储在网站服务器的内存中,无论用户电脑多么安全,只要网站使用了存在漏洞的OpenSSL版本,用户登录该网站时就可能被黑客实时监控到登录账号和密码。

360安全专家石晓虹博士表示,“心脏出血”漏洞堪称“网络核弹”,初步评估一批https登录方式的主流网站,有不少于30%的网站中招,其中包括网银、网购、网上支付、邮箱、门户、微信、微博等知名网站和服务。无论用户电脑多么安全,只要网站使用了存在漏洞的OpenSSL版本,用户登录该网站时就可能被黑客实时监控到登录账号和密码。

目前还没有具体的统计数据显示这次漏洞造成多大的经济损失,但发现该漏洞的研究人员指出,当今最热门的两大网络服务器Apache和nginx都使用OpenSSL。总体来看,这两种服务器约占全球网站总数的三分之二。

北京青年报记者了解到,黑客获取的是离内存最近的64K字节的内容,大概是六万多个字。这其中很可能包含用户隐私信息,甚至网站密钥。

据悉,发现该漏洞的研究人员几天前就已经通知OpenSSL团队和重要的利益相关者。这让OpenSSL得以在漏洞公布当天就发布了修复版本。为了解决该问题,各大网站需要尽快安装最新版OpenSSL。

网络安全专家、南京翰海源信息技术有限公司创始人方兴表示,通过这个漏洞,可以泄露以下四方面内容:一是私钥,所有https站点的加密内容全能破解;二是网站用户密码,用户资产如网银隐私数据被盗取;三是服务器配置和源码,服务器可以被攻破;四是服务器“挂掉”不能提供服务。

昨天下午,国内大量网站已开始紧急修复此OpenSSL高危漏洞,但是修复此漏洞普遍需要半个小时到一个小时时间,大型网站修复时间会更长一些。

百度钱包也发布声明称,近日,OpenSSL漏洞已排山倒海向互联网安全界袭来,攻击者可持续读取服务器内存数据,窃取用户cookie、口令等敏感数据,已确定1.0.1—1.0.1f、1.0.2beta1版本均在此列。

Facebook、雅虎和谷歌发言人昨天均对外表示,已经评估了SSL漏洞,并且给关键服务打上了补丁。微软发言人也表示,“我们正在关注OpenSSL问题的报道。如果确实对我们的设备和服务有影响,我们会采取必要措施保护用户。”

事件·最新

截至发稿前,包括阿里巴巴、腾讯等多个大型互联网服务商通过官微宣布,已经修复了该OpenSSL漏洞。

清华等高校网络发现OpenSSL漏洞

昨天,中国金融认证中心官方网站挂出文章,针对OpenSSL漏洞对网银的影响进行了说明,其表示,网银系统均使用商业级的SSL加密设备,很少有采用类似OpenSSL这样的开源软件,因此受到的影响较少。而对于普通用户,U盾可以完全放心使用。对于不能确认的网站,可通过一些免费的在线工具验证一下访问的网站是否存在这个漏洞。如果存在此漏洞的话,先暂停访问,等待漏洞得到修复。

360网站卫士的OpenSSL漏洞检测平台昨天发现,清华大学等几所高校的某项网络服务存在“心脏出血”漏洞,同时也监测到了有来自北京联通的一个IP针对这些服务进行漏洞探测,360紧急通知相关高校进行修复。通过进一步分析发现,某高校的网络服务存“心脏出血”漏洞源自于其VPN硬件设备。360提醒用户,如果通过检测发现问题,可以第一时间联系硬件设备提供商,通过软件升级或降级等方式进行修复。

SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。SSL最早在1994年由网景推出,上世纪90年代以来已经被所有主流浏览器采纳。目前该技术在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。

事件·提示

当用户访问一些安全网站时,会在URL地址旁看到一个“锁”,表明你在该网站上的通讯信息都被加密。这个“锁”表明,第三方无法读取你与该网站之间的任何通讯信息。在后台,通过SSL加密的数据只有接收者才能解密。

登录网站最好先检测是否存漏洞

多数SSL加密的网站都使用名为OpenSSL的开源软件包。本次爆出的安全漏洞正存在于这款软件中,该漏洞导致攻击者可以远程读取存在漏洞版本的openssl服务器内存中长达64K的数据。OpenSSL大约两年前就已经存在这一缺陷。(原标题:《年度最严重安全漏洞波及2亿网民》)

经360网络攻防实验室检测发现,全球开放443端口的主机共有40041126个,其中受OpenSSL“心脏出血”漏洞影响的主机有32335个。

特别声明:本文转载仅仅是出于传播信息的需要,并不意味着代表本网站观点或证实其内容的真实性;如其他媒体、网站或个人从本网站转载使用,须保留本网站注明的“来源”,并自负版权等法律责任;作者如果不希望被转载或者联系转载稿费等事宜,请与我们接洽。

360已经第一时间向12万网站用户发送提醒邮件,提醒广大站长尽快将OpenSSL升级至
1.0.1g版本,以修复该漏洞。

为帮助用户避免相应风险,360网站卫士推出OpenSSL漏洞在线检查工具(

石晓虹提醒广大互联网服务商,尽快将OpenSSL升级至1.0.1g版本进行修复。同时建议广大网友,在此漏洞得到修复前,暂时不要在受到漏洞影响的网站上登录账号,尤其是对那些没有明确采取补救措施的网站,更应该谨慎避免泄密风险。在网站完成修复升级后,及时修改密码。

事件·应对

国内网络公司均称“已修复”漏洞

对于OpenSSL存在的漏洞,昨天,阿里巴巴、腾讯、百度、360、京东等中国互联网公司均表示,已第一时间对漏洞进行了修复。

腾讯和阿里巴巴均回应称,已在第一时间对OpenSSL某些存在基础协议通用漏洞的版本进行了修复处理,目前已经处理完毕,腾讯包括邮箱、财付通、QQ、微信等产品和网站,阿里包括淘宝、天猫、支付宝等各网站都确认可以放心使用。

阿里小微金融服务集团首席风险官胡晓明称,通过4月8日一晚上的通宵工作,已经完全修复了OpenSSL出现漏洞后的安全信息问题,并重新回顾了这个时间点支付宝加密机制是否存在问题,没有发现任何问题。

百度钱包称,在这次风暴中未受影响,请大家继续安心使用。京东表示,已对系统全面排查并升级,目前不建议用户修改密码。

360公司相关负责人也表示,360历来有一个漏洞检索机制,4月8日上午10点28分抓取到了这个漏洞信息,立即开始自我评估,搜索自己哪些服务器使用了OpenSSL协议,最后获得了一个服务器列表,一共有100-200台服务器受到影响,然后立刻要求服务器团队开始修复,整个修复过程持续到4月9日凌晨5点多。

事件·后续

技术专家称修复并不意味着安全

北京知道创宇信息技术有限公司持续监测发现,一些公司升级了OpenSSL;一些公司选择暂停SSL服务,仍继续使用其主要功能;有的为规避风险,干脆暂停网站全部服务;更有一部分根本没有采取任何措施。

对于以上公司的处理方式,方兴认为,相对于当前可能出现的信息泄密和财产损失,其影响将是持久深远的,并不是此次修复漏洞后就安全了,攻击者还可以利用获得的数据进行更大程度上的破坏。

一位安全行业人士透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。

事件·观察

国家级应急响应亟待优化

对于此次OpenSSL漏洞给中国互联网企业带来的系统性风险,有专家指出,出于安全考虑,政府有关职能部门应在第一时间向全国发出警报。但从目前反应出的情况来看,我国重大安全事件的紧急处置及联动机制还不够健全。

国家应急中心一位负责人也指出,我国从2003年起,就开始试图建立漏洞触发机制,但这一块工作的细化和操作在实践层面还缺乏清晰的路径。

中国计算机学会信息安全专业委员会主任严明认为,对于政府职能部门,目前公安或者其他相关部门应当立即启动应急措施,促进通报漏洞信息,并强制推动所有受到漏洞影响的网站进行技术升级和修补。在这一阶段完成后,再对那些出现了财产侵占的非法行为进行查处追责。

对于企业而言,则要第一时间做出反应,修补自身漏洞,比如该漏洞8日被公布,一些企业到了9日才开始补救,一些甚至还无动于衷。

本版文/本报记者 吴琳琳 制图/潘璠

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图