OpenSSL漏洞波及電商和網銀 專家提醒及時修復

【推薦讀】

新浪科技 穆媛媛

新浪科技訊 4月9日中午消息，昨日，OpenSSL(為網絡通信提供安全及數據完整性的一種安全協議)被爆存在安全漏洞。利用該漏洞，黑客可多次盜取以https開頭網址的用戶登錄賬號密碼，該漏洞波及電商網站、在支付等領域。對此，安全專家已發布緊急預警，提醒各大互聯網服務商盡快進行版本升級，修復該漏洞。

針對此次OpenSSL漏洞，烏雲創始人方小頓對新浪科技表示，OpenSSl實質與伺服器有關，很多網站在建站的過程中未及時跟進版本的升級從而導致漏洞的的出現。一般情況下，普通http協議訪問網站時，用戶信息安全不受OpenSSL的影響。SSL大多運用於電商網站、網銀以及在支付領域， 因為在涉及到資金安全及個人隱私等敏感內容的網頁，伺服器一般都會強制使用https協議。

被此次漏洞波及的電商企業紛紛表示未受到影響，或已經修復處理完畢。阿里安全回應稱，關於OpenSSL某些版本存在基於基礎協議的通用漏洞，阿里各網站已經在第一時間進行了修復處理，目前已經處理完畢，包括淘寶、天貓、支付寶等各大網站都確認可以放心使用。

噹噹網表示，目前並未收到任何有關此漏洞的信息，客服也未接到相關投訴，具體細節還需與技術進行了解。而淘寶方面表示，針對OpenSSl的問題，淘寶網已經在第一時間進行了處理和修復，目前已經處理完畢，支付寶則稱並未受到影響。另外，京東相關負責人表示，系統已全面排查並升級，可以避免這次漏洞的侵襲。

對此，團購網站拉手網CTO官沖在接受新浪科技採訪時表示，該漏洞對於拉手網沒有造成太大影響，因為拉手網並未直接保存敏感信息，並且已對網站版本進行了升級。官沖同時建議用戶登陸並使用https協議的網頁后，及時修改密碼，以確保個人信息的安全。同時用戶可使用在檢測工具，預先查看將要訪問的https頁面有無OpenSSL heartbleed漏洞。

此外，據業內人士介紹受此次漏洞波及的另一領域是在支付。但網銀在相關人員告訴新浪科技，其網站並未因OpenSSL漏洞而遭受太大影響，並且相關技術人員已經做好技術升級，目前網站運營正常。

專家建議：

烏雲創始人 方小頓

針對此漏洞，烏雲創始人方小頓表示，OpenSSl是部署在網站伺服器端的，因此這個漏洞與用戶的個人電腦安全性沒有關係。很多網站在建站的過程中未跟進版本的升級從而導致漏洞的的出現。他認為，修復該漏洞並不存在技術上的困難，而只需要幾個小時時間便可修復。因此，方小頓建議相關網站進行版本升級。

金山毒霸安全專家 李鐵軍

網站怎麼辦？

網站管理員可以使用這個服務檢查自己的網站是否存在威脅：

盡快升級OpenSSL到1.0.1g

網民怎麼辦？

1.注意觀察相關事件進展，目前尚無法準確評估黑客利用OpenSSL漏洞獲得了多少數據。

2.對重要服務，盡可能開通手機驗證或動態密碼，比如支付寶、郵箱等，登錄重要服務，不僅僅需要驗證用戶名密碼，最好綁定手機，加手機驗證碼登錄。這樣就算黑客拿到帳戶密碼，登錄還有另一道門檻。

3.如果隨事件進展，可能受累及的網絡服務在增加或更明確，建議用戶修改重要服務的登錄密碼。安全專家的建議是，一個密碼的使用時間不宜過長，超過3個月就該換掉了。