近别网购心脏出血漏洞引恐慌

2019-12-05 07:28:35 来源: 河东信息港

近别购!“心脏出血”漏洞引恐慌

8日晚,“黑客”迎来狂欢之夜,络安全协议OpenSSL曝出安全漏洞,让他们借机肆意扫描站数据库,用户登录电商、银的账户、密码等关键信息可能会泄露,造成财产损失。黑客和安全保卫者正在进行“你盗我堵”的疯狂赛跑,在这一过程中,也暴露出我国在络安全防护方面存在软肋。

络地震来袭

淘宝银均会受影响

一位安全行业人士在某着名电商站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该站

ZoomEye完成的扫描数据显示,全国160万个443端口中,已有3.3万个受本次OpenSSL漏洞影响。在国外,受到波及的站也数不胜数,连NASA(美国航空航天局)也已宣布,用户数据库遭泄露。

一安全行业人士透露,他在某着名电商站用这个漏洞尝试读取数据

,读取200次后获得40多个用户名、7个密码,用这些密码,他成功地登录了该站。

北京知道创宇信息技术有限公司研究部总监钟晨鸣表示,此次漏洞会影响为数众多的使用https的站,其中包括公众熟知并且经常访问的、淘宝、各个银、社交、门户等知名站。而且越是知名的大站,越容易受到不法分子利用漏洞进行攻击。

据介绍,这一漏洞的发现者们给这个漏洞起了个形象的名字:heartbleed——心脏出血。

“这个漏洞是地震级别的。”中国计算机学会信息安全专业委员会主任严明说,目前受害的用户具体数字还难以知晓,要到过后才能统计出来。“打个形象的比喻,就像家里的门很坚固也锁好了,但是发现窗户虚掩着。”

威胁长期存在

并非此次修复漏洞就安全

该漏洞即使被入侵也不会在服务器日志中留下痕迹,攻击者可以利用已获得的数据进行更大程度上的破坏

然而,很多公司并没认识到问题的重要性。北京知道创宇信息技术有限公司持续监测发现,一些机构升级了OpenSSL,如360、百度等;一些选择暂停SSL服务,仍继续使用其主要功能,如;有的为规避风险,干脆暂停站全部服务;更有一部分根本没有采取任何措施。

钟晨鸣说,这个漏洞实际上出现于2012年,至今两年多,谁也不知道是否已有黑客利用漏洞获取了用户资料;而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以目前还没办法确认那些服务器被入侵,也就没法定位损失、确认泄漏信息,从而通知用户进行补救。

相对于当前可能出现的信息泄密和财产损失,方兴说,它的影响将是持久深远的,并不是此次修复漏洞后就安全了,攻击者还可以利用获得的数据进行更大程度上的破坏。

不过

,电商企业纷纷表示未受到影响,或已修复处理完毕。其中,1号店方面表示,公司的技术人员4月8日已经充分评估过该漏洞对1号店系统的影响,目前1号店业务系统都是安全的,不受该漏洞的任何影响。阿里巴巴表示,旗下包括淘宝、天猫等电商平台并未受到事件波及

。支付宝相关负责人向表示,并未受到安全漏洞影响。腾讯方面则称,目前相关的产品业务如邮箱、财付通、、等都已经修复完毕,“大家可以放心使用

。”

不过金山毒霸安全专家李铁军认为,目前尚无法准确评估黑客利用漏洞获得了多少数据,因此普通用户仍然需要小心为上。李铁军表示,对重要服务,尽可能开通验证或动态密码,比如支付宝、邮箱等

,登录重要服务,不仅需要验证用户名密码,绑定

,加验证码登录。李铁军还建议用户修改重要服务的登录密码,“一个密码的使用时间不宜过长,超过3个月就该换掉了。”

对于普通用户,安全领域专家建议,近日在相关站升级修复前,建议暂且不要登录购、银账户,尤其是对那些没有明确采取补救措施的站,更应该谨慎避免泄密风险。在站完成修复升级后,及时修改密码,避免引发次生危害。

呼伦贝尔市地方病防治研究所怎么样
中国人民解放军九五医院
淄博市第四人民医院
珠海好的性病医院
京都儿童医院检查
本文标签: