吴文婷

2014年4月8日，在互联网世界发生了两件大事，除了微软正式宣布XP停止服务退役之外，更令人关注的是OpenSSL的大漏洞曝光。

OpenSSL的大漏洞是由Codenomicon和谷歌安全部门的研究人员独立发现的。为了将影响降到最低，研究人员已经与OpenSSL团队和其他关键的内部人士展开了合作，在公布该问题前就已经准备好修复方案。

某网站安全检测平台对国内120万家经过授权的网站扫描，其中有3万多个网站主机受漏洞影响。4月7日、4月8日期间，共计约两亿网友访问了存在漏洞的网站。目前，大部分网站和支付平台已经完成了修复工作。

急补“心脏出血”漏洞

出现漏洞后，让特定版本的OpenSSL成为无需钥匙即可开启的废锁，入侵者每次可以翻检户主的64K信息，只要有足够的耐心和时间，他可以翻检足够多的数据，拼凑出户主的银行密码、私信等敏感数据。

OpenSSL被曝出的安全漏洞在黑客社区中被命名为“心脏出血”。利用该漏洞，黑客坐在自己家里电脑前，就可以实时获取到很多https开头网址的用户登录账号密码，包括网银、知名购物网站、电子邮件等信息。

据了解，OpenSSL是为网络通信提供安全及数据完整性的一种安全协议，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，在中国的金融类网站、电商网站、门户网站上均广泛使用，被形容为“互联网上销量最大的门锁”。

然而，出现漏洞后，让特定版本的OpenSSL成为无需钥匙即可开启的废锁，入侵者每次可以翻检户主的64K信息，只要有足够的耐心和时间，他可以翻检足够多的数据，拼凑出户主的银行密码、私信等敏感数据。

“OpenSSL‘心脏出血’漏洞为本年度互联网上最严重的安全漏洞，影响至少两亿中国网民，初步评估一批https登录方式的主流网站，有不少于30%的网站中招，其中包括大家最常用的购物、网银、社交、门户、微博、微信、邮箱等知名网站和服务。” 360安全专家石晓虹博士表示。

自这个漏洞被曝出后，安全专家们与黑客已经展开了激烈竞赛。腾讯方面称，“公司已在第一时间进行处理，目前相关的产品业务如邮箱、财付通、QQ、微信等都已经修复完毕，大家可以放心使用。”雅虎发言人表示，“我们的团队已经在雅虎的各个主要网站上成功完成修复，我们正在针对公司旗下其他的网站实施修复。”谷歌回应：“公司已对SSL的弱点进行了评估，并对关键服务发布了补丁程序。”此外，包括12306网站、陌陌、知乎、淘宝网、360应用等也已经完成修复。

除了各大网站之外，受影响的另一方则是在线支付。4月9日，中国金融认证中心(CFCA)官方网站挂出文章，针对OpenSSL漏洞对网银的影响进行了说明。“网银系统均使用商业级的SSL加密设备，很少有采用类似OpenSSL这样的开源软件，因此受到的影响较少。而对于普通用户，U盾可以完全放心使用。对于不能确认的网站，可通过一些免费的在线工具验证一下访问的网站是否存在这个漏洞。如果存在此漏洞的话，先暂停访问，等待漏洞得到修复。”

事实上，OpenSSL的漏洞早在两年前就出现了，有业内人士担忧不知道是否已有黑客利用漏洞获取了用户资料，而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹，所以目前还没办法确认哪些服务器被入侵，也就没法定位损失、确认泄漏信息，从而通知用户进行补救。

艾媒CEO张毅在接受《中国经营报》记者采访时表示，对此次漏洞事件持乐观态度。“之前黑客盗取数据的情况应该会有，但是到目前为止没有出现大面积的泄露和资金流失，至少说明情况不是很严重。另外，现在大家重视起来，主流服务平台都会进行修复升级，所以以后的问题应该也不会特别大。”

商业机会涌现