4月8日晚,一种为网络通信提供数据安全的协议(OpenSSL)的多个版本爆出漏洞,该漏洞加剧了用户大量隐藏数据被盗的风险,成为本年度至今最严重的安全漏洞。
上万主机受影响,漏洞威胁网络支付安全
国家互联网应急中心运行部主任王明华介绍,这个协议是一种互联网的底层组架,用来实现网络通信的加密和认证,与当前互联网主流应用关系密切。
在业界看来,该协议就像互联网上销量最大的门锁,出现了漏洞,入侵者即可利用漏洞窃取服务器的用户数据。因为当前在线支付、电商网站、门户网站、电子邮件等重要网站广泛使用该协议,该漏洞直接危及互联网用户财产和个人信息安全。
据介绍,本次发现的漏洞俗称“心脏出血”,只要有足够的耐心和时间,黑客通过反复攻击,就有可能得到足够多的数据,拼凑出用户的银行密码等敏感数据。
国家信息安全漏洞共享平台8日对“心脏出血”漏洞分析、测试的结果表明,国内外一些大型互联网企业邮件服务、即时聊天、网络支付、电子商务、权限认证等服务器都受到漏洞影响,此外一些政府和高校网站服务器也受到影响。
预计近期针对该漏洞的攻击将激增
过去两年中,这一协议被许多企业和服务用来加密数据,而其漏洞其实一直存在,只不过最近才被发现。
王明华表示,目前互联网上已经出现了针对该漏洞的攻击利用代码,预计在近期针对该漏洞的攻击将呈现激增趋势,对网站服务提供商以及用户造成的危害有可能会进一步扩大。
专家建议,广大互联网服务商尽快将该协议版本升级,进行修复,以保证安全。国家信息安全漏洞共享平台表示,目前该漏洞并未造成太大影响,但为防范可能的攻击,网站服务提供商一定要及时下载升级更新,如果无法及时升级,则需要重新编译。同时,有必要采用第三方网站安全防护平台或专用防护设备为服务器提供防护。
主流网站已完成修复更新
阿里巴巴9日发布信息称,针对漏洞,阿里各网站已经在第一时间进行了修复处理,目前已经处理完毕。与此同时,腾讯等大型互联网服务商也表示已经修复了该协议漏洞。
王明华说,主流的大网站9日完成了修复和更新,交易安全大体可以得到保障。
对普通用户,专家建议,在网络服务商更新的2到3天内,用户尽量不要去登录相关网站或进行网上支付活动,以免受到损失。专家还建议,为避免黑客再度获取用户的密码,最好的办法就是等安全公司和各大网站明确表示已经解决这一问题后,再修改账号密码。