支付宝openssl漏洞肆虐 互联网巨头称目前已修复

  金山毒霸安全专家李铁军表示,这个漏洞使黑客可以远程读取https服务器的随机64KB内存,“只要这个黑客有耐心多捕获多分析那些64KB的数据,用户访问网站的cookies、SSL私钥、账号密码,这些数据全都可能被黑客远程读取到。” 一位安全行业人士在网络问答社区知乎上透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。

  网购、信息登记、社交……如今,我们的日常生活离不开互联网,但有可能,过去两年里,黑客可以利用通过安全漏洞多次盗取我们的用户登录账号密码。4月8日晚,安全协议OpenSSL爆出本年度最严重的安全漏洞。该安全漏洞被业内称为“心脏流血”。有媒体报道称,已经存在了大约两年了,随后昨日国内各大厂商、互联网企业闻风而动,采取了堵漏洞等相关安全措施。  目前互联网巨头称已升级系统修复漏洞

  可远程盗取用户账户密码

  据了解,OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。该漏洞是由安全公司Codenomicon和谷歌安全工程师发现的,并提交给相关管理机构。

  安全专家指出,SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。它好比互联网上销量最大的门锁。它可以允许处于SSL连接一端的电脑发送短信息,确认另一台电脑仍然在线,并给与回应。但通过被曝光的漏洞,黑客可以通过巧妙的手段发出恶意心跳信息,欺骗另一端的电脑泄露机密信息。

  金山毒霸安全专家李铁军表示,这个漏洞使黑客可以远程读取https服务器的随机64KB内存,“只要这个黑客有耐心多捕获多分析那些64KB的数据,用户访问网站的cookies、SSL私钥、账号密码,这些数据全都可能被黑客远程读取到。”

  一位安全行业人士在网络问答社区知乎上透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。

  “OpenSSL漏洞堪称网络核弹,”360安全专家石晓虹表示,无论用户电脑多么安全,只要网站使用了存在漏洞的OpenSSL版本,用户登录该网站时就可能被黑客实时监控到登录账号和密码。“建议广大网友,在此漏洞得到修复前,暂时不要在受到漏洞影响的网站上登录账号。”

  约2亿网民受波及

  据悉,OpenSSL在今年4月7日推出了OpenSSL 1.01g,修复了这个漏洞。但据360网站安全检测平台昨日对国内120万家经过授权的网站扫描,有11440个网站主机受OpenSSL“心脏出血”漏洞影响。另据多个流量监测机构数据推算,4月7日、4月8日,共计约2亿网友访问了存在OpenSSL漏洞的网站。

  更为麻烦的是,这个漏洞实际上出现于2012年,至今两年多。这意味着,谁也不知道是否已经有黑客利用漏洞获取了用户资料;而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以目前还没有办法确认哪些服务器被入侵,也就没法定位损失、确认泄漏信息,从而通知用户进行补救。

  各大网站和黑客斗快

  据媒体报道,这个漏洞被曝出来后,全球黑客们已经纷纷出动,不停试探各类服务器,试图从漏洞中抓取到尽量多的用户敏感数据。因此,各大网站也争分夺秒地升级系统、弥补漏洞。

  对于用户量较多的腾讯和阿里,两大互联网巨头昨日分别在回复新快报记者的声明中均表示,已第一时间进行了修复处理,目前如QQ、微信、支付宝等均可以安全使用。京东方面也表示,系统已全面排查并升级,可以避免这次漏洞的侵袭。

  根据安全分析系统ZoomEye的检测报告,截至昨日20点11分,中国12个受影响大站列表中,仅剩YY某服务仍显示未修复状态,其余如微信公众号、QQ邮箱、支付宝、陌陌、比特币中国等网站均已完成修复。

  中国受影响大站列表

  12306铁路客户服务中心

  微信公众号

  微信网页版

  QQ邮箱

  陌陌

  雅虎

  比特币中国

  支付宝

  知乎

  淘宝网

  360应用

  YY某服务

  注:据ZoomEye的检测报告,截至昨日22点,除YY某服务仍显示未修复状态,上述网站均已修复。

  1

  普通网民可以做这些:

  注意观察相关事件进展,目前尚无法准确评估黑客利用OpenSSL漏洞获得了多少数据。

  2

  对重要服务,尽可能开通手机验证或动态密码,比如支付宝、邮箱等,登录重要服务,不仅仅需要验证用户名密码,最好绑定手机,加手机验证码登录。这样就算黑客拿到账户密码,登录还有另一道门槛。

  3

  如果随着事件进展,可能受累及的网络服务在增加或更明确,建议用户修改重要服务的登录密码。安全专家的建议是,一个密码的使用时间不宜过长,超过3个月就该换掉了。

支付宝openssl漏洞肆虐 互联网巨头称目前已修复的更多相关文章

  1. openSSL漏洞原理及安全加固

    2014年4月8日晚,互联网爆出了又一重量级安全漏洞,即CVE-2014-0160,通俗来讲就是OpenSSL出现了安全漏洞. 说 这个漏洞前,先介绍一下OpenSSL,OpenSSL是一个强大的安全 ...

  2. 为什么互联网巨头们纷纷使用Git而放弃SVN?(内含Git核心命令与原理总结)

    写在前面 最近发现很多小伙伴对于工作中的一些基本工具的使用还不是很了解,比如:Git这个分布式的代码管理仓库,很多小伙伴就不是很了解,或者说不是很熟悉.甚至有些小伙伴都没听说过Git,就只会用个SVN ...

  3. [转帖]AMD霄龙安全加密虚拟化曝漏洞:已修复

    AMD霄龙安全加密虚拟化曝漏洞:已修复 https://www.cnbeta.com/articles/tech/862611.htm 硬件的安全问题 今年初,Google的一位研究人员发现,AMD ...

  4. OpenSSL漏洞补救办法详解(转)

    CVE-2014-0160漏洞背景 2014年4月7日OpenSSL发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160).OpenSSL Heartbleed模块 ...

  5. 教你怎么检测Heartbleed OpenSSL漏洞

    Heartbleed错误是一个严重的漏洞.这个弱点可以窃取信息,在正常情况下,由SSL / TLS加密保护互联网.Heartbleed错误允许任何人在互联网上阅读系统的内存保护脆弱的OpenSSL的软 ...

  6. 分析 BAT 互联网巨头在大数据方向布局及大数据未来发展趋势

    > 风起云涌的大数据战场上,早已迎百花齐放繁荣盛景,各大企业加速跑向"大数据时代".而我们作为大数据的践行者,在这个"多智时代"如何才能跟上大数据的潮流, ...

  7. 【转载】知乎答案----孙志岗----Google 发布了程序员养成指南,国内互联网巨头是否也有类似的指南和课程推荐

    国内公司在复制国外商业模式的同时,也应复制人家的社会担当.所以,来答题了!就参考 Google 的框架,列一下中文的课程.大体上在线学完一个计算机专业,是基本不成问题的.但是,这不意味着你可以不上大学 ...

  8. 马云专访二:点评阿里雅虎交易、BAT三家、互联网巨头与政府关系

    记者:我们不得不要说到你和雅虎之间的事情了.你知道,雅虎对整个互联网业的意义不只是一家公司,它有它象征的意义,重要的是,雅虎对阿里巴巴的意义更加非同寻常,当你最后决定用76亿美元从雅虎“赎身”的时候, ...

  9. (转)来自互联网巨头的46个用户体验面试问题(谷歌,亚马逊,facebook及微软)

    原文出处: uxdesign - Eleonora Zucconi   译文出处:UXRen - 邓俊杰 如果你是个正在找工作的用户体验研究员,或是一个招聘经理正急需一些启发性问题来测试你的候选人,这 ...

随机推荐

  1. mysql的优化措施,从sql优化做起

    http://geeksblog.cc/2016/06/11/mysql-optimize/ 优化sql的一般步骤 通过show status了解各种sql的执行频率 定位执行效率低的sql语句 通过 ...

  2. GDB 运行PYTHON 脚本+python 转换GDB调用栈到流程图

    http://tromey.com/blog/?cat=17 http://blog.csdn.net/cnsword/article/details/16337031 http://blog.csd ...

  3. Chapter 5 - How to Detect the Collisions

    Chapter 5 - How to Detect the Collisions Our hero can fire bullets now, but the bullets are only vis ...

  4. java 对象的this使用 java方法中参数传递特性 方法的递归

    一.this关键字,使用的情形,以及如何使用. 1.使用的情形 类中的方法体中使用this  --初始化该对象 类的构造器中使用this --引用,调用该方法的对象 2.不写this,调用 只要方法或 ...

  5. Linux下搭建Oracle11g RAC(1)----IP分配与配置IP

    首先需要说明的,我的RAC搭建不是在虚拟机上完成的,而是在实际部署中,二者之间有些许差异,本人水平有限,请见谅. 其中,每台机器至少需要配置3个IP地址,在安装操作系统的过程中,我们需要配置公网IP和 ...

  6. android 中 ColorDrawable dw = new ColorDrawable(0x3ccccccc),关于颜色定义的总结

    android 中  ColorDrawable dw = new ColorDrawable(0x3ccccccc),关于颜色定义的总结 0x3ccccccc 拆分开来 0x-3c-cccccc   ...

  7. js移除最后一个字符,js替换字符串的连接符号,js移除最后一个分隔符号

    js移除最后一个字符 js移除最后一个分隔符号 js替换字符串的连接符号 >>>>>>>>>>>>>>>> ...

  8. 如何获得Windows 8中已记住的WIFI的明文密码

    网上很流行的一种查看WIFI密码明文的方法,如下: 今天遇到了一种状况,就是如果不连WIFI的情况我能抓到这个密码吗?(实在不想开口问同事密码多少,只能苦逼的自己想办法了o(︶︿︶)o ) 答案当然是 ...

  9. 配置MyEclipse+Hibernate连接Sql Server 2008出错

    下文主要是讲述最近配置MyEclipse连接Sql Server 2008时遇到的一个问题,而不关注如何配置Sql Server 2008支持TCP/IP连接.Hibernate如何操作Sql Ser ...

  10. Lucene索引的初步创建

    从百度上知道的,Lucene是apache软件基金会4 jakarta项目组的一个子项目,是一个开放源代码的全文检索引擎工具包,但它不是一个完整的全文检索引擎,而是一个全文检索引擎的架构,提供了完整的 ...