互联网“心脏出血”漏洞 至少影响二亿中国网民

　　4月8日，互联网安全协议OpenSSL被曝存在一个十分严重的安全漏洞。在黑客社区，它被命名为“心脏出血”，表明网络上出现了“致命内伤”。利用该漏洞，黑客可以获取约30%的https开头网址的用户登录账号密码，其中包括购物、网银、社交、门户等类型的知名网站。

　　在与网民经济利益密切相关的电商领域，此次事件造成的影响还有待评估。但就在4月8日当天，两个互联网漏洞报告平台就发布了有关淘宝账号密码疑似泄露的消息。昨天，记者就此事采访了相关人士。

　　“近几年最严重网络安全漏洞”

　　上海市信息安全行业协会副秘书长王怀宾表示，“心脏出血”可以说是近几年最严重的网络安全漏洞。他建议人们近期减少网上支付行为，避免密码等泄露。“当然，如果有网银U盾或手机动态密码，安全还是有保障的。”360安全专家石晓虹博士则表示：“这个漏洞影响了至少2亿中国网民。从https网址进行登录的网站中，初步评估不少于30%中招，其中包括购物、网银、社交、门户等类型的知名网站。”从前天起，大量网站已开始紧急修复这一高危漏洞。

　　昨天上午，360网络攻防实验室检测平台还发现，部分知名高校官网的网络服务存在“心脏出血”漏洞，也监测到一个IP地址针对这项服务进行漏洞探测。这提示，所有高校有必要检测本校网站是否存在漏洞，并及时修复。

　　部分淘宝账户密码疑遭泄露

　　在这场波及全球的网络安全危机中，淘宝网也未能幸免。4月8日14时15分，由一支上海网络安全团队建立的互联网公众安全事件预警平台 “伯威”(www.BugWe.com)率先发布消息：“淘宝严重漏洞导致泄露大量用户明文登录密码”。4月8日15时36分，互联网漏洞报告平台“乌云”也发布了类似消息。该平台报告称，淘宝主站存在一漏洞，其类型是“重要敏感信息泄露”，危害等级是“高”。

　　昨天，记者采访了阿里巴巴公司公关负责人。他表示：“这个漏洞是全球性的，并非只有淘宝才有。4月8日当天，淘宝在第一时间已做了修复。”那么，在漏洞曝出至修复前的这段时间里，是否有淘宝用户的账号密码被黑客获取？该名负责人表示，目前还不清楚。

　　不过，“伯威”平台的技术发言人对此给出了肯定的回答。这位网名为Leon的“白帽”(帮助企业修复网络漏洞的专家)，毕业于东华大学信息安全专业。他告诉记者，该平台已收到匿名用户提交的一批疑遭泄露的淘宝用户名和密码，数量并不少。为此，该平台昨天上线了一个查询接口，供网友查询自己的淘宝账号是否在泄露名单之列。该平台发表声明：“如果您在4月6日至8日浏览过淘宝，建议您尽快修改密码，以避免造成不必要的损失”。

　　建议网站勿用统一“开源框架”

　　谈到 “心脏出血”漏洞事件带来的教训，Leon说这类漏洞并非首次曝光。去年6月，国外一互联网框架组织发布了名为 “Struts 2”的漏洞，导致国内不少电商网站的数据库信息泄露。它和“心脏出血”漏洞本质上是相同的，都利用了许多网站在安全架构上采用统一的 “开源框架”这根软肋。假如各个网站采用的安全架构是定制化的，就不会发生一个漏洞引发大批网站“中招”的局面。

　　因此，他建议国内电商网站以及政府、企业网站开发定制化的安全系统，而不要再使用统一的“开源框架”。此外，他还建议互联网企业多进行“渗透性测试”，即模拟黑客入侵服务器，从而找到网站漏洞，排除安全隐患。

　　对于广大网络用户，Leon建议定期访问第三方漏洞发布平台，了解哪些电商出现过密码疑似泄露情况，以便及时修改自己的账号密码；如果确信密码已遭泄露，可联系电商进行申诉。广大用户还需注意，支付密码和登录密码不要设置得相同，否则登录密码一旦泄露，就可能蒙受经济损失。(记者 俞陶然 徐瑞哲)