金融一周谈:险企热衷爱情险 电商网银遭漏洞威胁(2)
4月10日 京华时报:互联网“心脏出血”电商网银遭受威胁
4月8日外媒爆出,研究人员发现OpenSSL漏洞遍及全球互联网公司,并为其起了个形象的名字“心脏出血”,中国超过3万台主机受波及,国内网站和安全厂商技术人员为检查、抢修彻夜未眠。截至昨天,有超30%的主机已经修复,“大站”纷纷表示安全,但技术人士称,消费者敏感信息是否泄露还有待日后观察。
“这是近两年来最严重的一次网络安全危机。”360公司技术副总裁谭晓生评价,在以https开头的网站中,初步评估有不少于30%的网站中招,其中包括大家最常用的购物、网银、社交、门户等知名网站,而在手机APP的网银客户端中,则有至少50%存在风险。
据南京翰海源信息技术有限公司创始人方兴介绍,通俗来讲,通过这个漏洞,可以泄露以下四方面内容:一是私钥,所有https站点的加密内容全能破解;二是网站用户密码,用户资产如网银隐私数据被盗取;三是服务器配置和源码,服务器可以被攻破;四是服务器挂掉不能提供服务。
一位安全行业人士透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。
昨天下午,来自知道创宇ZoomEye网络空间搜索引擎的监控显示,国内有22611台主机受影响,而前天这个数字是33303,可以看到情况正在好转,超过30%的主机已经修复。
昨天早上,此次漏洞事件引发最多泄密担忧的阿里系急忙表示漏洞已经修复。阿里安全回应称,关于OpenSSL某些版本存在基于基础协议的通用漏洞,阿里各网站已经在第一时间进行了修复处理,目前已经处理完毕,包括淘宝、天猫、支付宝等各大网站都确认可以放心使用。其中淘宝方面还透露,从目前监控的情况来看,未发现账户异常。
京东则表示,已于昨天完成了修补处理,避免了这次漏洞的侵袭。
腾讯昨天早上也发声明称,腾讯已在第一时间进行处理,目前相关的产品业务如邮箱、财付通、QQ、微信等都已经修复完毕。