在过去的两天里，互联网曝出的一项漏洞，让一些安全专家和黑客难眠。其原因在于一个被黑客社区命名为“心脏出血”的漏洞，利用该漏洞，黑客可以实时获取用户登录账号和密码。

“这对黑客来说是千载难逢的好机会，对安全厂商也是一举成名的好机会，而互联网公司可能有一失足成千古恨的危险。”360公司副总裁、首席隐私官谭晓生说。

不过也有人认为安全公司是夸大其词，某国外安全公司中国区技术总监陈胜利认为，“心脏出血”的确是一个漏洞，这个漏洞也比较常规，但两年中一直并没有爆发，真正有能力利用这个漏洞发动攻击的也只是很小一部分黑客。

他认为，存在黑客攻击获得用户数据后过一段时间再牟利的可能性。但也不排除有些安全公司并没有做实际工作而借机炒作。而中招的互联网公司和用户小心谨慎、宁可信其有不可信其无的心态还是值得赞许的。

“出血”搅动互联网“心脏”

所谓“心脏出血”，指的是OpenSSL源代码出现的一个漏洞。这一漏洞的存在，可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中，可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。

谭晓生称，OpenSSL是互联网上应用最广泛的安全传输办法，“它是互联网上销量最大的门锁”，各大网银、在线支付、电商网站和门户网站都在使用，一旦这个门锁出现问题，几乎所有的重要的网站都会“裸奔”。

安全公司Codenomicon和谷歌安全工程师发现了OpenSSL源代码的这个漏洞，并提交给相关管理机构，随后官方很快发布了漏洞的修复方案。OpenSSL大约两年前就已经存在这一缺陷。

SSL是一种流行的加密技术，可以保护用户通过互联网传输的隐私信息。当用户访问网络银行等安全网站时，就会在URL地址旁看到一个“锁”，表明你在该网站上的通讯信息都被加密。这个“锁”表明，第三方无法读取你与该网站之间的任何通讯信息。在后台，通过SSL加密的数据只有接收者才能解密。如果不法分子监听了用户的对话，也只能看到一串随机字符串，而无法了解电子邮件、Facebook帖子、信用卡账号或其他隐私信息的具体内容。

OpenSSL是基于SSL的一个开源免费软件，由于免费和易用，风靡互联网，很多网站都在使用这一技术。

很多隐私信息都储存在服务器的内存中，攻击者通过模式匹配信息进行分类整理后，可以找出密码以及信用卡号等个人信息。

大量中国网站中枪

安全网站ZOOMEYE扫描了整个世界的服务器，做了一次整体的“体检”。中国有33303台服务器存在漏洞，美国则有24万台服务器可能有问题，12306铁路客户服务中心、微信公众号、支付宝和淘宝等都受到影响，但均已修复。

阿里小微金融服务集团首席风险官、阿里巴巴集团副总裁胡晓明告诉中国青年报记者：“OpenSSL是昨天爆发的，我们已经完全修复了在OpenSSL出现漏洞以后安全信息的泄露问题。我们除了OpenSSL加密机制以外，还有自己的加密机制，来确保客户账号的安全。”

360公司宣称，这一漏洞至少影响2亿中国网民，一批使用https登录方式的主流网站有三成中招，包括大家最常用购物、网银、社交等知名网站和服务。

“心脏出血”漏洞最大的危害之一是，黑客获得用户的信息并不着急发起攻击，用户和网站本身也不知道自己的资料泄露，一旦在未来某刻危机爆发，将是连锁性大规模的安全事件。

互联网还安全吗