新华网北京4月10日电(记者南婷、邓中豪)4月8日，网络安全协议OpenSSL被曝发现严重安全漏洞，诸多公众熟知的电商、支付类接口、社交、门户网站瞬间处于“裸奔”状态，大量网民信息面临泄密风险。互联网“心脏出血”还将持续多久？危害究竟多大？普通用户在此时此刻应当做些什么？新华社记者就此进行了调查。

“地震级”网络灾难降临 “心脏出血”抢修进行中

4月8日，在微软XP操作系统正式停服同一天，互联网筑墙被划出一道致命的裂口——常用于电商、支付类接口等安全性极高网站的网络安全协议OpenSSL被曝存在高危漏洞，众多使用https的网站均可能受到影响。

一些人对漏洞严重性还在盲目乐观时，业界知名“白帽子”、北京知道创宇信息技术有限公司研究部总监余弦指出，此漏洞一旦被恶意利用，用户登录这些电商、支付类接口的账户、密码等关键信息都将面临泄露风险。包括公众熟知并且经常访问的微信、淘宝、一些支付类接口、社交、门户等知名网站均受到影响，而且越是知名高的网站，越容易受到不法分子的攻击。

在余弦的电脑屏幕上，网络安全分析系统扫描显示，在中国境内的160余万台服务器中，有33303台受到这一漏洞影响。苏宁、盛大、网易、搜狗、唯品会、比特币中国、微信、豌豆荚……一个个网民常用的甚至依赖的网站纷纷“躺枪”。

余弦告诉记者，这3万多台服务器分布在支付类接口系统、大型电商网站、即时通讯系统和邮箱等这些最重要的网络服务器中。

8日晚，余弦和他的团队守在电脑屏幕前彻夜未眠，安全保卫者们敲击键盘的噼啪声一夜未断。不仅余弦，360、京东、微信、支付宝等公司的技术团队也彻夜奋战，和黑客们开展起了一场“你盗我堵”的赛跑，在黑客窃取更多用户数据前赶紧予以修复。

“狼来了”：数据已发生泄露

南京翰海源信息技术有限公司创始人方兴指出：此漏洞事实上非常简单，并不是因为算法被攻破，而是由于程序员在设计时没有做长度检查而产生的内在泄露漏洞。

“新生程序员时常会犯这样的错误。”知道创宇首席执行官杨冀龙如此看待这一问题。

“打个形象的比喻，就像家里的门很坚固也锁好了，但是发现窗户虚掩着。”中国计算机学会计算机安全专业委员会主任严明说，这个漏洞是地震级别的。

知道创宇公司持续在线监测情况显示，虽然大部分公司已有所行动，但仍有部分涉及机构动作迟缓。截至9日晚，知道创宇公司通过监测ZoomEye实时扫描数据分析发现，国内12306铁路客户服务中心、微信公众号、支付宝、淘宝网、360应用、陌陌、雅虎、QQ邮箱、微信网页版、比特币中国、雅虎、知乎等网站的漏洞已经修复完毕。但还有一些网站没有完成修复。

余弦告诉记者，该漏洞并不一定导致用户数据泄露，因为该漏洞只能从内存中读取64K的数据，而重要信息正好落在这个可读取的64K中的几率并不大，但是攻击者可以不断批量地去获取这最新的64K记录，这样就很大程度上可以得到尽可能多的用户隐私信息。

一位安全行业人士透露，他在某著名电商网站上用这个漏洞尝试读取数据，在读取200次后，获得了40多个用户名、7个密码，用这些密码，他成功地登录了该网站。

威胁还长期潜伏

余弦坦言，问题在于这个漏洞实际出现在2012年。两年多来，谁也不知道是否已经有黑客利用漏洞获取了用户资料；由于该漏洞即使被入侵也不会在服务器日志中留下痕迹，所以目前还没有办法确认哪些服务器被入侵过，也就没法定位损失、确认泄露信息。

目前看来，该漏洞确已被很多黑客利用。网络安全领域资深人士透露，由于OpenSSL漏洞的出现，8日、9日的地下交易市场中，各种兜售非法数据的交易显得异常火爆，比如一份某省工程类人员的信息数据，该信息清晰显示出大量人员的姓名、身份证号码等。