4月8日晚,一種為網路通信提供數據安全的協議(OpenSSL)的多個版本爆出漏洞,該漏洞加劇了用戶大量隱藏數據被盜的風險,成為本年度至今最嚴重的安全漏洞。
上萬主機受影響,漏洞威脅網路支付安全
國家網際網路應急中心運作部主任王明華介紹,這個協議是一種網際網路的底層組架,用來實現網路通信的加密和認證,與當前網際網路主流應用關係密切。
在業界看來,該協議就像網際網路上銷量最大的門鎖,出現了漏洞,入侵者即可利用漏洞竊取伺服器的用戶數據。因為當前線上支付、電商網站、門戶網站、電子郵件等重要網站廣泛使用該協議,該漏洞直接危及網際網路用戶財産和個人資訊安全。
據介紹,本次發現的漏洞俗稱“心臟出血”,只要有足夠的耐心和時間,駭客通過反覆攻擊,就有可能得到足夠多的數據,拼湊出用戶的銀行密碼等敏感數據。
國家資訊安全漏洞共用平臺8日對“心臟出血”漏洞分析、測試的結果表明,國內外一些大型網際網路企業郵件服務、即時聊天、網路支付、電子商務、許可權認證等伺服器都受到漏洞影響,此外一些政府和高校網站伺服器也受到影響。
預計近期針對該漏洞的攻擊將激增
過去兩年中,這一協議被許多企業和服務用來加密數據,而其漏洞其實一直存在,只不過最近才被發現。
王明華表示,目前網際網路上已經出現了針對該漏洞的攻擊利用代碼,預計在近期針對該漏洞的攻擊將呈現激增趨勢,對網站服務提供商以及用戶造成的危害有可能會進一步擴大。
專家建議,廣大網際網路服務商儘快將該協議版本升級,進行修復,以保證安全。國家資訊安全漏洞共用平臺表示,目前該漏洞並未造成太大影響,但為防範可能的攻擊,網站服務提供商一定要及時下載升級更新,如果無法及時升級,則需要重新編譯。同時,有必要採用第三方網站安全防護平臺或專用防護設備為伺服器提供防護。
主流網站已完成修復更新
阿里巴巴9日發佈資訊稱,針對漏洞,阿裏各網站已經在第一時間進行了修復處理,目前已經處理完畢。與此同時,騰訊等大型網際網路服務商也表示已經修復了該協議漏洞。
王明華説,主流的大網站9日完成了修復和更新,交易安全大體可以得到保障。
對普通用戶,專家建議,在網路服務商更新的2到3天內,用戶儘量不要去登錄相關網站或進行網上支付活動,以免受到損失。專家還建議,為避免駭客再度獲取用戶的密碼,最好的辦法就是等安全公司和各大網站明確表示已經解決這一問題後,再修改賬號密碼。
[責任編輯: 林天泉]