高（gāo）危漏洞“心脏流血”突袭互联网

这两天，蚌埠女（nǚ）孩王晓蕙（化名）告诉（sù）记者，她在（zài）纠结到底要不要更改网站账（zhàng）户密码。因（yīn）为4月8日早上，她上（shàng）淘宝（bǎo）网买（mǎi）下了心仪很久的小家电，但（dàn）当天就爆（bào）出消息称，一个名为OpenSSL的基础（chǔ）网络（luò）传（chuán）输软（ruǎn）件存在重大漏洞，用户（hù）登录网银、购物网站、电子邮件等，都可能会泄露账户密码（mǎ）。

针对这个漏洞，不少计算机专家表示，用户不用过于担忧，这个漏洞的修复并不复（fù）杂。另（lìng）外，若网站公布修复公（gōng）告后，用户应及时修改密码，而未发布公告的网站，用户（hù）应减少登录（lù），且（qiě）不（bú）要急着修改密码。

2亿中国用户受影响

4月（yuè）8日（rì），一个名为（wéi）OpenSSL的（de）软件，被爆出存在重大漏洞，其（qí）被命（mìng）名为“心脏流血”，比喻像心脏流血般重大而危急。据了（le）解，“心脏流（liú）血（xuè）”漏洞首（shǒu）先被谷歌研究员尼尔·梅塔（tǎ）发现（xiàn）。

黑客可以通过这个（gè）漏洞，获（huò）取到（dào）以https开（kāi）头网址的（de）用户登录账号和密码、cookie等一概隐私信息。而据360网站安全检测平台，对国内120万家经过授权的网站扫描发现（xiàn），有3万（wàn）多个网站主机（jī）受到了漏洞影响（xiǎng）。在4月7日、4月8日期（qī）间，共计约有2亿（yì）中国用户（hù）访问了存在漏洞的网站（zhàn）。

更令人紧张的是，这些网站包含（hán）了人们最常（cháng）用（yòng）的购物、社交等知名网站和服务。并且，这与你的电脑是（shì）否（fǒu）足够安全无关，只（zhī）要（yào）你登录的（de）网站使用了存在漏（lòu）洞的OpenSSL版本，用户登（dēng）录网站时的一些信（xìn）息，就可能被（bèi）伺机而动的黑客所获取。

据称（chēng），这一漏洞被公开后，一部分雅（yǎ）虎用户数据，在一天之内（nèi）遭到泄（xiè）露。而（ér）360网站卫士的OpenSSL漏（lòu）洞（dòng）检测平台（tái）还发现，清华（huá）大（dà）学等几所（suǒ）高校的某（mǒu）项（xiàng）网络服务，也存在“心脏出（chū）血”漏洞。

经360网络攻防（fáng）实（shí）验室（shì）检测发现，全球开放（fàng）443端口的主机共有40041126个，其中受OpenSSL“心脏出血”漏（lòu）洞影响的主机有32335个。

隐私信息或被窃取

据了解，黑客获取的（de）是离内存（cún）最（zuì）近的64K字节的（de）内（nèi）容（róng），大概是六万（wàn）个字，其中很可能包含用户隐私信息，甚至网站密钥（yào）。

并（bìng）且（qiě）黑（hēi）客攻击（jī）“心脏流血”并不需要很高门（mén）槛，因为入侵代码已经被公布。黑客只要有（yǒu）足够的耐心和时间（jiān），就可以翻检足够多的（de）数据，拼凑出户主（zhǔ）的银行密（mì）码（mǎ）、私信（xìn）等（děng）敏感数据，“甚（shèn）至连网站的源代码（mǎ）都可能被窃取（qǔ）。”一位在杭州从事计算机行业多年的王姓程序员（yuán）（以下（xià）简（jiǎn）称王（wáng）先生）表（biǎo）示。

网（wǎng）络安全专家（jiā）、南京翰海（hǎi）源信（xìn）息技术有限公司创（chuàng）始人方（fāng）兴此前表（biǎo）示，通过这个（gè）漏洞，可以泄露以下四方面内（nèi）容（róng）：一是私（sī）钥，所有https站点的（de）加密内容全能破解（jiě）；二（èr）是网（wǎng）站用户（hù）密码，用户资产（chǎn）如（rú）网银隐私数据被（bèi）盗取（qǔ）；三是服（fú）务器配置和源码，服务器（qì）可（kě）以被攻破；四是（shì）服务器“挂（guà）掉（diào）”不能（néng）提供服（fú）务（wù）。

可能（néng）有些人会（huì）庆幸，还好那几天我都用手机APP登录。但360副（fù）总裁谭晓生（shēng），在接受（shòu）采访时曾（céng）表示：“手机APP用到OpenSSL软（ruǎn）件的（de）占到50%，我们（men）扫描到一（yī）万（wàn）多个问题网站。”

修改密码要视情况而定

使用网上银行（háng）或有U盾的（de）用（yòng）户，其账户的安全会（huì）不（bú）会受到影响？相关人士（shì）表示，影（yǐng）响几乎为零。

 “如果银行使用了（le）带有该漏洞（dòng）的OpenSSL开源软件版本，会有一定影（yǐng）响。但是这个漏洞只是窃取（qǔ）内存中的数据（jù），银（yín）行的用（yòng）户密码还有一重加密保护，一般不会（huì）在SSL服（fú）务器解密（mì），所以也就很难（nán）拿到银行用户的密（mì）码。”中国金（jīn）融认证中心应（yīng）用开发部总经理林峰，此前在接受采访时解（jiě）释。

什（shí）么是SSL？“简单地（dì）来说，SSL是（shì）一种加密协议，如果网站不采用（yòng）这种加密协议的话，用户在登录（lù）时候的用（yòng）户名、密码等（děng）信息，会以明（míng）文的形式（shì）进行（háng）传输（shū），非常不安全。”王先生解释（shì）说。

那我们现在是（shì）否需要去修改相（xiàng）关网（wǎng）站的密码呢？这个得看情况，王先生建议说：“如果这个网站（zhàn）并未升级，那么你去登录了（le），就会（huì）有一定的风险（xiǎn），因为你（nǐ）的用户（hù）名等相关信息，都会存在网站的服务（wù）器内（nèi）存上，黑（hēi）客（kè）只（zhī）要入（rù）侵这个服务器，对这些数据进行解码，就可以知晓相关信息。如果这个网站已（yǐ）经确认升级（jí）过其OpenSSL，那么修改密（mì）码是一种（zhǒng）比（bǐ）较保（bǎo）险的（de）行为。”

此（cǐ）外，金（jīn）山毒霸（bà）安（ān）全专家李（lǐ）铁军此前也建（jiàn）议，尽可能开（kāi）通手机验证或动态密码，最好绑定手（shǒu）机。这样登录重（chóng）要（yào）服（fú）务时，除了需要验证用（yòng）户（hù）名（míng）密码，还需（xū）加手机验证码登（dēng）录（lù）。那么就（jiù）算黑客拿到账户密码，登录还有另一道门槛。安全专家建议（yì），一个（gè）密码的使用时间（jiān）不宜过长，超（chāo）过3个（gè）月就该换（huàn）一换。

纵深

登（dēng）录网站就会（huì）被窃取（qǔ）密码（mǎ）？

事实确实如此。王先生表示，这（zhè）个漏洞其（qí）实并不（bú）是这段时间才出（chū）现的（de），实际上它出现于2012年。至今两年多，谁也不知道是否（fǒu）已经有黑客（kè）利用漏（lòu）洞获取了用户（hù）资料。而且由于该漏洞即（jí）使被入侵，也不会在服务器日（rì）志中留下痕（hén）迹（jì），所（suǒ）以目前还没有（yǒu）办法（fǎ）确认哪些服务器被入侵（qīn），也就没法定位（wèi）损失、确认泄露信息，从而通知用户进行补救。不过，只有（yǒu）在用（yòng）户使用有漏洞的服务时，正好有人在利用监（jiān）视（shì）这个漏洞，你的密（mì）码才有可能被窃取。所以，一般用户（hù）不用（yòng）太过紧张。