中國著名品牌網訊：近日互聯網曝出的一項漏洞，讓一些安全專家和黑客難眠。其原因在于一個被黑客社區命名為“心臟出血”的漏洞，利用該漏洞，黑客可以實時獲取用戶登錄賬號和密碼。黑客隨時進入網站更新我們的賬號和密碼，以后還有什么安全度可言的。對于此，又多少網站是裸奔的呢？
 

 

不過也有人認為安全公司是夸大其詞，某國外安全公司中國區技術總監陳勝利認為，“心臟出血”的確是一個漏洞，這個漏洞也比較常規，但兩年中一直并沒有爆發，真正有能力利用這個漏洞發動攻擊的也只是很小一部分黑客。

 

360公司副總裁、首席隱私官譚曉生認為，存在黑客攻擊獲得用戶數據后過一段時間再牟利的可能性。但也不排除有些安全公司并沒有做實際工作而借機炒作。而中招的互聯網公司和用戶小心謹慎、寧可信其有不可信其無的心態還是值得贊許的。“出血”攪動互聯網“心臟”所謂“心臟出血”，指的是OpenSSL源代碼出現的一個漏洞。這一漏洞的存在，可以讓攻擊者獲得服務器上64K內存中的數據內容。這部分數據中，可能存有安全證書、用戶名與密碼、聊天工具的消息、電子郵件以及重要的商業文檔等數據。

 

譚曉生稱，OpenSSL是互聯網上應用最廣泛的安全傳輸辦法，“它是互聯網上銷量最大的門鎖”，各大網銀、在線支付、電商網站和門戶網站都在使用，一旦這個門鎖出現問題，幾乎所有的重要的網站都會“裸奔”。安全公司Codenomicon和谷歌安全工程師發現了OpenSSL源代碼的這個漏洞，并提交給相關管理機構，隨后官方很快發布了漏洞的修復方案。OpenSSL大約兩年前就已經存在這一缺陷。

 

SSL是一種流行的加密技術，可以保護用戶通過互聯網傳輸的隱私信息。當用戶訪問網絡銀行等安全網站時，就會在URL地址旁看到一個“鎖”，表明你在該網站上的通訊信息都被加密。這個“鎖”表明，第三方無法讀取你與該網站之間的任何通訊信息。在后臺，通過SSL加密的數據只有接收者才能解密。如果不法分子監聽了用戶的對話，也只能看到一串隨機字符串，而無法了解電子郵件、Facebook帖子、信用卡賬號或其他隱私信息的具體內容。

 

OpenSSL是基于SSL的一個開源免費軟件，由于免費和易用，風靡互聯網，很多網站都在使用這一技術。很多隱私信息都儲存在服務器的內存中，攻擊者通過模式匹配信息進行分類整理后，可以找出密碼以及信用卡號等個人信息。大量中國網站中槍

 

安全網站ZOOMEYE掃描了整個世界的服務器，做了一次整體的“體檢”。中國有33303臺服務器存在漏洞，美國則有24萬臺服務器可能有問題，12306鐵路客戶服務中心、微信公眾號、支付寶和淘寶等都受到影響，但均已修復。

 

阿里小微金融服務集團首席風險官、阿里巴巴集團副總裁胡曉明告訴中國青年報記者：“OpenSSL是昨天爆發的，我們已經完全修復了在OpenSSL出現漏洞以后安全信息的泄露問題。我們除了OpenSSL加密機制以外，還有自己的加密機制，來確保客戶賬號的安全。”

 

譚曉生認為，OpenSSL軟件有紕漏，并不代表SSL全球的安全協議標準出現漏洞。也不應該對開源軟件和安全協議標準產生懷疑和不信任。沒有絕對安全的加密算法，開源其實意味著接受所有人的審查，所以出現漏洞幾率相當少。“越是遇到類似今日的情況越要為開源社區提供鼓勵和幫助，現在的一分幫助能為你換來下一個十年乃至二十年的安全網絡。”有安全專家呼吁。