昨日，被称为“心脏出血”的OpenSSL协议安全漏洞引发了人们对网上支付的担忧。传言称，这个漏洞“波及几乎所有网站”，用户“不登录还好，一登录网站就有可能导致用户名和密码失窃”。截至昨日18时12分，百度搜索关键词“OpenSSL漏洞”已有约159000条结果。网上的建议是：“这两天千万不要登录一切涉及网银电商的网站，忍到这些网站修补漏洞后再彻底更换密码。”这个建议靠谱吗？南方日报记者就此采访了电商、银行和互联网安全业内人士。

建议待网站修补漏洞后改密码

据了解，目前“心脏出血”安全漏洞已被正式命名为CVE-2014-0160。OpenSSL紧急发布了1.0.1g版本修复这一问题，但网站对这一软件的升级还需要一段时间。

业内人士建议，普通用户暂时不要急于更换密码，要等相关网站完成修补安全漏洞之后再行更换。如果网站还未修复漏洞，修改密码的操作可能导致新密码被窃。

国内一家安全企业研究部总监余弦表示，经检测，中国有至少3万台服务器“带病”工作，它们分布于银行网银系统、第三方支付、电商网站中。漏洞修补期间，确认有关网站安全之前，不要使用网银、电子支付和电商购物等功能，以避免用户密码被黑客窃取。“一位银行朋友告诉我，他们补上这个漏洞需要两天时间。这两天大家最好就别登录网银了。如果已经登录过了，那就考虑换一下密码吧。”

同时，业内人士建议，诸如支付宝、邮箱等重要服务最好绑定手机，尽可能开通手机验证或动态密码，登录时不仅需要验证用户名和密码，还应通过手机验证码登录。此外，个人用户应密切留意未来数日的财务报告，因为攻击者可以获取服务器内存中的信用卡信息。对于银行卡的陌生扣款，应特别关注。

回应多家公司称已修复漏洞

对于OpenSSL存在的漏洞，昨日，阿里巴巴、百度、当当网等公司均表示，已经在第一时间对漏洞进行了修复。

阿里巴巴集团安全应急响应中心回应称，关于OpenSSL某些版本存在基于基础协议的通用漏洞，阿里各网站已经在第一时间进行了修复处理，包括淘宝、天猫、支付宝等各大网站都确认可以放心使用。

百度钱包随即也发布声明称，“近日，OpenSSL漏洞已排山倒海向互联网安全界袭来，攻击者可持续读取服务器内存数据，窃取用户cookie、口令等敏感数据，已确定1.0.1—1.0.1f，1.0.2beta1版本均在此列。百度钱包在这次风暴中未受影响，请大家继续安心使用。”当当网表示，目前并未收到任何有关此漏洞的信息，客服也未接到相关投诉，具体细节还需与技术进行了解。

昨日，南方日报记者向各大银行了解相关情况，不少银行表示并未因此受到影响。“目前一切正常，还没有客户咨询这个事情。”某股份制银行负责人向记者透露，很多银行的网银除了常规的密码，还有动态密码和Ukey，加上银行自身后台防火墙和监测能力很强，日常支付需要手机验证码等安全措施，因此使用网银支付不必太担心。