4月8日,研究人员发现OpenSSL漏洞遍及全球互联网公司,并为其起了个形象的名字“心脏出血”。中国超过3万台主机受到波及。截至9日,有超30%的主机已经修复。
4月8日,OpenSSL的大漏洞曝光,外国黑客将其命名为“heartbleed”,用最致命的内伤“心脏出血”描述事件的严重性。该漏洞是由Codenomicon和谷歌安全部门的研究人员独立发现的。
OpenSSL是为网络通信提供安全及数据完整性的一种安全协议。知道创宇网站安全部总监余弦将OpenSSL形容为“互联网上销量最大的门锁”。此次曝出的这个漏洞,让特定版本的OpenSSL成为无需钥匙即可开启的废锁,入侵者每次可以翻检户主的64K信息,只要有足够的耐心和时间,他可以翻检足够多的数据,拼凑出户主的银行密码、私信等敏感数据。
“这是近两年来最严重的一次网络安全危机。”360公司技术副总裁谭晓生评价,在以https开头的网站中,初步评估有不少于30%的网站中招。
据南京翰海源信息技术有限公司创始人方兴介绍,通俗来讲,通过这个漏洞,可以泄露以下4方面内容:一是私钥,所有https站点的加密内容全能破解;二是网站用户密码,用户资产如网银隐私数据被盗取;三是服务器配置和源码,服务器可以被攻破;四是服务器挂掉不能提供服务。
网民该如何应对?
1、专家建议,对重要服务尽可能开通手机验证或动态密码。登录重要服务,不仅需要验证用户名密码,而且最好绑定手机,加手机验证码登录。这样就算黑客拿到账户密码,登录还有另一道门槛。
2、一个密码的使用时间不宜过长,超过3个月就该换掉。据京华时报
