欢迎来到益通防腐有限公司,咨询热线:13931757272

大网站急忙声明已修复漏洞-ITBEAR科技资讯

发布时间:2019-11-15 19:43

 大网站急忙声明已修复漏洞-ITBEAR科技资讯

  互联网正面临大规模泄露用户信息的危险。4月8日,一个名为“心脏出血”的重要漏洞被爆出,漏洞一旦被黑客攻击,个人登陆账号、密码以及储存在用户本地终端上的数据等都会被获取。截至昨日,腾讯、阿里巴巴、京东等多家公司表示已对漏洞进行修复。据统计,此次在国内受影响的网站达到3万家。

  淘宝天猫腾讯京东等都声明

  4月8日夜间至4月9日凌晨,是阿里巴巴、腾讯、京东、360、12306等互联网企业最为忙碌的一夜,众多安全技术人员“彻夜未眠”,与黑客争分夺秒对网站漏洞进行修复。一位业内人员说,这一天足以载入史册。因为对于黑客而言,每一秒钟都意味着金钱,他们会不惜一切抓紧时间抓取数据。

  4月8日,一个名为openSSL基础网络传输软件被爆存在重大漏洞,这个漏洞被命名为“心脏出血”,意味着该漏洞像心脏出血一样重大和急迫。黑客通过该漏洞可以获取用户的登陆信息等众多敏感信息。据悉,由于openSSL软件一直较好用且免费,有三成企业在构建网站时使用了这个软件。业内人士预计,有3万家国内网站将受到影响。

  截至昨日,阿里旗下的淘宝和天猫、腾讯、360、京东商城和当当网给北京晨报记者发来声明称,已连夜对漏洞进行修复,用户可以正常使用。截止到记者发稿,并未发现账户异常的情况。

  在安全厂商知道创宇提供的“漏洞清单”中,记者看到已对漏洞进行修复的网站包括12306、微信网页版和公众号、QQ邮箱、陌陌、雅虎、比特币中国、支付宝、知乎、淘宝网、360应用等。而YY某服务的漏洞还未进行修复,而在截至昨日下午4点半的清单中,未修复的网站还包括中国电信。

  多数中小型网站未修复

  4月9日上午,360网站卫士的OpenSSL漏洞检测平台发现,北京大学和清华大学某项网络服务存在“心脏出血”漏洞,同时也监测到了有来自北京联通的一个IP针对这些服务进行漏洞探测。

  “大企业对修复漏洞比较积极,但是中小型网站却很难及时修复。”360副总裁谭晓生表示,例如学校网站,截至目前大部分未进行漏洞修复。一部分是由于其构架不能进行升级从而修复漏洞,另一方面则是由于安全人员未给予足够的重视,这将给用户带来较大的风险。

  据了解,黑客攻击“心脏出血”并不需要很高门槛,因为入侵代码已经被公布。入侵者只要有足够的耐心和时间,就可以翻检足够多的数据,拼凑出户主的银行密码、私信等敏感数据。据报道,一位安全行业人士透露,他在某知名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。

  晨报记者 孙雨

  专家提醒

  7日、8日登过漏洞网站的用户将受影响

  “4月7日、8日两天登录过存漏洞网站的用户将受到影响。”谭晓生表示,这部分用户可能多达1.5亿至2亿。

  “在7日、8日登录过淘宝、微信、QQ邮箱、京东商城等网站的用户,在看到修复公告后,应修改密码。”谭晓生提醒,对于没有发布已完成修复公告的网站,用户应减少登陆,且不要着急修改密码。

  金山毒霸安全专家李铁军也建议,尽可能开通手机验证或动态密码,登录重要服务,不仅需要验证用户名密码,最好绑定手机,加手机验证码登录。这样就算黑客拿到账户密码,登录还有另一道门槛。安全专家建议,一个密码的使用时间不宜过长,超过3个月就该换掉了。

  手机APP登录会相对安全吗?谭晓生表示答案是否定的。“手机APP用到openSSL软件的占到50%,我们扫描到一万多个网站有问题。”此外,360提醒用户,简单识别网站应用是否采用SSL加密,只需要看浏览器地址栏是http://,还是https://,以https://访问的网站就是用SSL加密的。

  谭晓生表示,未来三到五年,类似于“心脏流血”的事件将会越来越多。病毒、木马、流氓软件将不再是主要威胁。晨报记者 孙雨

  新闻链接

  银行和银联支付不受影响

  OpenSSL漏洞对网上银行有多大影响?昨天,业内人士对北京晨报记者表示,该漏洞对银行网上支付、银行U盾使用及银联的影响几乎为零。

  昨天有传言称,即便是银行网上支付、U盾、银联支付,也不安全。这让近几天使用过银行网上支付的银行客户没了着落。

  中国金融认证中心应用开发部总经理林峰解释称,OpenSSL漏洞是由于代码实现不严谨造成的。该漏洞存在于OpenSSL1.0.1系列版本中,之前的OpenSSL版本不受影响。天猫、淘宝使用的正是这个系列的版本,所以可以窃取到内存中的数据。

  “如果银行使用了带有该漏洞的OpenSSL开源软件版本,是会有一定的影响。但是这个漏洞只是窃取内存中的数据,银行的用户密码还有一重加密保护,一般不会在SSL服务器解密,所以也就很难拿到银行用户的密码。”

  林峰还表示,OpenSSL的漏洞和U盾的安全性没有直接联系,因为用户的交易敏感信息是通过USB接口送入U盾后,在U盾内部进行加密和数字签名运算,SSL协议是对U盾加密签名后的数据再进行一次传输层的加密。这次OpenSSL的漏洞对U盾没有影响,可以放心使用。

  不过有传言称,中国银联也在此次漏洞的名单之内。昨日,中国银联相关负责人独家回应称,中国银联的系统运维始终坚持行业最高等级安全标准,保障客户信息安全。银联核心跨行交易系统运营基于专用网络,与事件无关。

  该负责人解释道,“银联在线支付”等基于互联网的创新业务系统也未使用OpenSSL技术,而对于个别外围供应商可能存在的OpenSSL漏洞,银联已通过主动排查,在乌云网等技术人士公开前就已协调供应商消除了隐患。持卡人完全可以放心使用银联的各项服务。

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


大网站急忙声明已修复漏洞-ITBEAR科技资讯公海手机版app


上一篇:没有了

下一篇:不到两年业务目标剑指一亿指掌易如何成为企业移动安全的“领跑者”?-ITBEAR科技资讯