新浪科技訊 4月9日中午消息,昨日,OpenSSL(為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議)被曝存在安全漏洞。利用該漏洞,黑客可多次盜取以https開頭網(wǎng)址的用戶登錄賬號(hào)密碼,該漏洞波及電商網(wǎng)站、在線支付等領(lǐng)域。對(duì)此,安全專家已發(fā)布緊急預(yù)警,提醒各大互聯(lián)網(wǎng)服務(wù)商盡快進(jìn)行版本升級(jí),修復(fù)該漏洞。
針對(duì)此次OpenSSL漏洞,烏云創(chuàng)始人方小頓對(duì)新浪科技表示,OpenSSL實(shí)質(zhì)與服務(wù)器有關(guān),很多網(wǎng)站在建站的過程中未及時(shí)跟進(jìn)版本的升級(jí)從而導(dǎo)致漏洞的的出現(xiàn)。一般情況下,普通http協(xié)議訪問網(wǎng)站時(shí),用戶信息安全不受OpenSSL的影響。SSL大多運(yùn)用于電商網(wǎng)站、網(wǎng)銀以及在線支付領(lǐng)域, 因?yàn)樵谏婕暗劫Y金安全及個(gè)人隱私等敏感內(nèi)容的網(wǎng)頁(yè),服務(wù)器一般都會(huì)強(qiáng)制使用https協(xié)議。
被此次漏洞波及的電商企業(yè)紛紛表示未受到影響,或已經(jīng)修復(fù)處理完畢。阿里安全回應(yīng)稱,關(guān)于OpenSSL某些版本存在基于基礎(chǔ)協(xié)議的通用漏洞,阿里各網(wǎng)站已經(jīng)在第一時(shí)間進(jìn)行了修復(fù)處理,目前已經(jīng)處理完畢,包括淘寶、天貓、支付寶等各大網(wǎng)站都確認(rèn)可以放心使用。
當(dāng)當(dāng)網(wǎng)(14.56,?1.64,?12.69%)表示,目前并未收到任何有關(guān)此漏洞的信息,客服也未接到相關(guān)投訴,具體細(xì)節(jié)還需與技術(shù)進(jìn)行了解。而淘寶方面表示,針對(duì)OpenSSl的問題,淘寶網(wǎng)已經(jīng)在第一時(shí)間進(jìn)行了處理和修復(fù),目前已經(jīng)處理完畢,支付寶則稱并未受到影響。另外,京東(滾動(dòng)資訊)相關(guān)負(fù)責(zé)人表示,系統(tǒng)已全面排查并升級(jí),可以避免這次漏洞的侵襲。
對(duì)此,團(tuán)購(gòu)網(wǎng)站拉手網(wǎng)CTO官?zèng)_在接受新浪科技采訪時(shí)表示,該漏洞對(duì)于拉手網(wǎng)沒有造成太大影響,因?yàn)槔志W(wǎng)并未直接保存敏感信息,并且已對(duì)網(wǎng)站版本進(jìn)行了升級(jí)。官?zèng)_同時(shí)建議用戶登陸并使用https協(xié)議的網(wǎng)頁(yè)后,及時(shí)修改密碼,以確保個(gè)人信息的安全。同時(shí)用戶可使用在線檢測(cè)工具,預(yù)先查看將要訪問的https頁(yè)面有無OpenSSL heartbleed漏洞。
此外,據(jù)業(yè)內(nèi)人士介紹受此次漏洞波及的另一領(lǐng)域是在線支付。但網(wǎng)銀在線相關(guān)人員告訴新浪科技,其網(wǎng)站并未因OpenSSL漏洞而遭受太大影響,并且相關(guān)技術(shù)人員已經(jīng)做好技術(shù)升級(jí),目前網(wǎng)站運(yùn)營(yíng)正常。
專家建議:
?
烏云創(chuàng)始人 方小頓
針對(duì)此漏洞,烏云創(chuàng)始人方小頓表示,OpenSSl是部署在網(wǎng)站服務(wù)器端的,因此這個(gè)漏洞與用戶的個(gè)人電腦安全性沒有關(guān)系。很多網(wǎng)站在建站的過程中未跟進(jìn)版本的升級(jí)從而導(dǎo)致漏洞的的出現(xiàn)。他認(rèn)為,修復(fù)該漏洞并不存在技術(shù)上的困難,而只需要幾個(gè)小時(shí)時(shí)間便可修復(fù)。因此,方小頓建議相關(guān)網(wǎng)站進(jìn)行版本升級(jí)。
金山毒霸安全專家 李鐵軍
?
網(wǎng)站怎么辦?
網(wǎng)站管理員可以使用這個(gè)服務(wù)檢查自己的網(wǎng)站是否存在威脅:http://filippo.io/Heartbleed/
盡快升級(jí)OpenSSL到1.0.1g
網(wǎng)民怎么辦?
1.注意觀察相關(guān)事件進(jìn)展,目前尚無法準(zhǔn)確評(píng)估黑客利用OpenSSL漏洞獲得了多少數(shù)據(jù)。
2.對(duì)重要服務(wù),盡可能開通手機(jī)驗(yàn)證或動(dòng)態(tài)密碼,比如支付寶、郵箱等,登錄重要服務(wù),不僅僅需要驗(yàn)證用戶名密碼,最好綁定手機(jī),加手機(jī)驗(yàn)證碼登錄。這樣就算黑客拿到帳戶密碼,登錄還有另一道門檻。
3.如果隨著事件進(jìn)展,可能受累及的網(wǎng)絡(luò)服務(wù)在增加或更明確,建議用戶修改重要服務(wù)的登錄密碼。安全專家的建議是,一個(gè)密碼的使用時(shí)間不宜過長(zhǎng),超過3個(gè)月就該換掉了。