4月8日外媒爆出，研究人员发现OpenSSL漏洞遍及全球互联网公司，并为其起了个形象的名字“心脏出血”，中国超过3万台主机受波及，国内网站和安全厂商技术人员为检查、抢修彻夜未眠。截至昨天，有超30%的主机已经修复，“大站”纷纷表示安全，但技术人士称，消费者敏感信息是否泄露还有待日后观察。

京华时报记者廖丰古晓宇祝剑禾顾梦琳高晨京华时报制图何将

事件

OpenSSL漏洞曝光

4月8日，OpenSSL的大漏洞曝光，外国黑客将其命名为“heartbleed”，用最致命的内伤“心脏出血”描述事件的严重性。该漏洞是由Codenomicon和谷歌安全部门的研究人员独立发现的。不过据外媒报道，为了将影响降到最低，研究人员已经与OpenSSL团队和其他关键的内部人士展开了合作，在公布该问题前就已经准备好修复方案。

OpenSSL是为网络通信提供安全及数据完整性的一种安全协议，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。知道创宇网站安全部总监余弦将OpenSSL形容为“互联网上销量最大的门锁”。此次爆出的这个漏洞，则让特定版本的OpenSSL成为无需钥匙即可开启的废锁，入侵者每次可以翻检户主的64K信息，只要有足够的耐心和时间，他可以翻检足够多的数据，拼凑出户主的银行密码、私信等敏感数据。

“简单识别网站应用是否采用SSL加密，只需要看浏览器地址栏是http，还是https，后者就是用SSL加密的。通常是非常关键的网络服务，比如邮箱、支付、银行。”金山毒霸安全专家李铁军说。

“有这样千载难逢的机会，黑客们是舍不得睡觉的。他们会想尽办法多获取一些服务器上的信息。”360公司技术副总裁谭晓生说。

影响

互联网安全大地震

“这是近两年来最严重的一次网络安全危机。”360公司技术副总裁谭晓生评价，在以https开头的网站中，初步评估有不少于30%的网站中招，其中包括大家最常用的购物、网银、社交、门户等知名网站，而在手机APP的网银客户端中，则有至少50%存在风险。

据南京翰海源信息技术有限公司创始人方兴介绍，通俗来讲，通过这个漏洞，可以泄露以下四方面内容：一是私钥，所有https站点的加密内容全能破解；二是网站用户密码，用户资产如网银隐私数据被盗取；三是服务器配置和源码，服务器可以被攻破；四是服务器挂掉不能提供服务。

一位安全行业人士透露，他在某著名电商网站上用这个漏洞尝试读取数据，在读取200次后，获得了40多个用户名、7个密码，用这些密码，他成功地登录了该网站。

昨天下午，来自知道创宇ZoomEye网络空间搜索引擎的监控显示，国内有22611台主机受影响，而前天这个数字是33303，可以看到情况正在好转，超过30%的主机已经修复。

“漏洞被挖掘出来以后，带来的危害并不会非常快地显现。”瑞星安全专家唐威告诉记者，现阶段企业层面能做的也是对使用的OpenSSL进行排查和升级。

不过，昨天也有业内人士称，这个漏洞其实并没那么可怕，因为这是一个旧版本OpenSSL的安全漏洞，开发者把服务器程序升级到OpenSSL1.0.1g就可以解决。

回应

银行银联支付不受影响