支付寶openssl漏洞肆虐互聯網巨頭稱目前已修復

時間 2019-11-10

原文原文鏈接

支付寶openssl漏洞肆虐互聯網巨頭稱目前已修復算法

　　金山毒霸安全專家李鐵軍表示,這個漏洞使黑客能夠遠程讀取https服務器的隨機64KB內存,「只要這個黑客有耐心多捕獲多分析那些64KB的數據,用戶訪問網站的cookies、SSL私鑰、帳號密碼,這些數據全均可能被黑客遠程讀取到。」一位安全行業人士在網絡問答社區知乎上透露,他在某著名電商網站上用這個漏洞嘗試讀取數據,在讀取200次後,得到了40多個用戶名、7個密碼,用這些密碼,他成功地登陸了該網站。安全

　　網購、信息登記、社交……現在,咱們的平常生活離不開互聯網,但有可能,過去兩年裏,黑客能夠利用經過安全漏洞屢次盜取咱們的用戶登陸帳號密碼。4月8日晚,安全協議OpenSSL爆出本年度最嚴重的安全漏洞。該安全漏洞被業內稱爲「心臟流血」。有媒體報道稱,已經存在了大約兩年了,隨後昨日國內各大廠商、互聯網企業聞風而動,採起了堵漏洞等相關安全措施。　　目前互聯網巨頭稱已升級系統修復漏洞服務器

　　可遠程盜取用戶帳戶密碼微信

　　據瞭解,OpenSSL是爲網絡通訊提供安全及數據完整性的一種安全協議,囊括了主要的密碼算法、經常使用的密鑰和證書封裝管理功能以及SSL協議,目前正在各大網銀、在線支付、電商網站、門戶網站、電子郵件等重要網站上普遍使用。該漏洞是由安全公司Codenomicon和谷歌安全工程師發現的,並提交給相關管理機構。cookie

　　安全專家指出,SSL是一種流行的加密技術,能夠保護用戶經過互聯網傳輸的隱私信息。它比如互聯網上銷量最大的門鎖。它能夠容許處於SSL鏈接一端的電腦發送短信息,確認另外一臺電腦仍然在線,並給與迴應。但經過被曝光的漏洞,黑客能夠經過巧妙的手段發出惡意心跳信息,欺騙另外一端的電腦泄露機密信息。網絡

　　金山毒霸安全專家李鐵軍表示,這個漏洞使黑客能夠遠程讀取https服務器的隨機64KB內存,「只要這個黑客有耐心多捕獲多分析那些64KB的數據,用戶訪問網站的cookies、SSL私鑰、帳號密碼,這些數據全均可能被黑客遠程讀取到。」網站

　　一位安全行業人士在網絡問答社區知乎上透露,他在某著名電商網站上用這個漏洞嘗試讀取數據,在讀取200次後,得到了40多個用戶名、7個密碼,用這些密碼,他成功地登陸了該網站。加密

　　「OpenSSL漏洞堪稱網絡核彈,」360安全專家石曉虹表示,不管用戶電腦多麼安全,只要網站使用了存在漏洞的OpenSSL版本,用戶登陸該網站時就可能被黑客實時監控到登陸帳號和密碼。「建議廣大網友,在此漏洞獲得修復前,暫時不要在受到漏洞影響的網站上登陸帳號。」spa

　　約2億網民受波及日誌

　　據悉,OpenSSL在今年4月7日推出了OpenSSL 1.01g,修復了這個漏洞。但據360網站安全檢測平臺昨日對國內120萬家通過受權的網站掃描,有11440個網站主機受OpenSSL「心臟出血」漏洞影響。另據多個流量監測機構數據推算,4月7日、4月8日,共計約2億網友訪問了存在OpenSSL漏洞的網站。

　　更爲麻煩的是,這個漏洞實際上出現於2012年,至今兩年多。這意味着,誰也不知道是否已經有黑客利用漏洞獲取了用戶資料;並且因爲該漏洞即便被入侵也不會在服務器日誌中留下痕跡,因此目前尚未辦法確認哪些服務器被入侵,也就無法定位損失、確認泄漏信息,從而通知用戶進行補救。

　　各大網站和黑客鬥快

　　據媒體報道,這個漏洞被曝出來後,全球黑客們已經紛紛出動,不停試探各種服務器,試圖從漏洞中抓取到儘可能多的用戶敏感數據。所以,各大網站也爭分奪秒地升級系統、彌補漏洞。

　　對於用戶量較多的騰訊和阿里,兩大互聯網巨頭昨日分別在回覆新快報記者的聲明中均表示,已第一時間進行了修復處理,目前如QQ、微信、支付寶等都可以安全使用。京東方面也表示,系統已全面排查並升級,能夠避免此次漏洞的侵襲。

　　根據安全分析系統ZoomEye的檢測報告,截至昨日20點11分,中國12個受影響大站列表中,僅剩YY某服務仍顯示未修復狀態,其他如微信公衆號、QQ郵箱、支付寶、陌陌、比特幣中國等網站均已完成修復。

　　中國受影響大站列表

　　12306鐵路客戶服務中心

　　微信公衆號

　　微信網頁版

　　QQ郵箱

　　陌陌

　　雅虎