“心脏出血”：OpenSSL的源代码中存在一个漏洞，可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中，可能存有安全证书、用户名与密码等数据。 OpenSSL：是目前互联网上应用最广泛的安全传输方法。可以形象地说，它是互联网上销量最大的门锁。

导读：OpenSSL日前被曝出本年度最危险的安全漏洞，初步评估有不少于30%的网站中招，其中包括网友们最常用的购物、网银、社交、门户等知名网站和服务。利用这一被命名为“心脏出血”的漏洞，黑客可以获取到以https开头网址的用户登录账号和密码、cookie等敏感数据。“心脏出血”漏洞将影响至少两亿中国网民。

事件 影响

3万多个网站主机受威胁

事实上，最新的调查显示，4月7日凌晨，国内就出现了针对OpenSSL“心脏出血”漏洞的黑客攻击迹象。360网站安全检测平台对国内120万家经过授权的网站扫描，其中有3万多个网站主机受漏洞影响。4月7日、4月8日期间，共计约2亿网友访问了存在漏洞的网站。

360安全专家石晓虹博士表示，“心脏出血”漏洞堪称“网络核弹”，初步评估一批https登录方式的主流网站，有不少于30%的网站中招，其中包括网银、网购、网上支付、邮箱、门户、微信、微博等知名网站和服务。无论用户电脑多么安全，只要网站使用了存在漏洞的OpenSSL版本，用户登录该网站时就可能被黑客实时监控到登录账号和密码。

北京青年报记者了解到，黑客获取的是离内存最近的64K字节的内容，大概是六万多个字。这其中很可能包含用户隐私信息，甚至网站密钥。

网络安全专家、南京翰海源信息技术有限公司创始人方兴表示，通过这个漏洞，可以泄露以下四方面内容：一是私钥，所有https站点的加密内容全能破解；二是网站用户密码，用户资产如网银隐私数据被盗取；三是服务器配置和源码，服务器可以被攻破；四是服务器“挂掉”不能提供服务。

百度钱包也发布声明称，近日，OpenSSL漏洞已排山倒海向互联网安全界袭来，攻击者可持续读取服务器内存数据，窃取用户cookie、口令等敏感数据，已确定1.0.1—1.0.1f、1.0.2beta1版本均在此列。

事件 最新

清华等高校网络发现OpenSSL漏洞

360网站卫士的OpenSSL漏洞检测平台昨天发现，清华大学等几所高校的某项网络服务存在“心脏出血”漏洞，同时也监测到了有来自北京联通的一个IP针对这些服务进行漏洞探测，360紧急通知相关高校进行修复。通过进一步分析发现，某高校的网络服务存“心脏出血”漏洞源自于其VPN硬件设备。360提醒用户，如果通过检测发现问题，可以第一时间联系硬件设备提供商，通过软件升级或降级等方式进行修复。

事件 提示

登录网站最好先检测是否存漏洞