核心提示|360互聯網安全中心11日發佈預警稱,互聯網“心臟出血”漏洞影響巨大,未來一段時間,或出現大規模盜號詐騙情況。
  網絡災難
  國內3萬多台服務器受漏洞影響
  互聯網基礎組件OpenSSL4月8日爆出“心臟出血”漏洞,此漏洞被認為是近年來危害最嚴重的安全漏洞,可以讓黑客輕鬆在https開頭網址服務器上,實時抓取用戶的賬號密碼。一時間,諸多公眾熟知的電商、支付類接口、社交、門戶網站瞬間處於“裸奔”狀態,大量網民信息面臨泄密風險。
  “打個形象的比喻,就像家裡的門很堅固也鎖好了,但是發現窗戶虛掩著。”中國計算機學會計算機安全專業委員會主任嚴明說,這個漏洞是地震級別的。
  4月7日凌晨,國內就出現了針對OpenSSL“心臟出血”漏洞的黑客攻擊跡象。4月8日下午開始,各大網站和服務商
  才開始陸續修複該漏洞。
  網絡安全分析系統掃描顯示,在中國境內的160餘萬台服務器中,有33303台受到這一漏洞影響。蘇寧、盛大、網易、搜狗、唯品會、比特幣中國、微信、豌豆莢……一個個網民常用的甚至依賴的網站紛紛“躺槍”。
  目前看來,該漏洞確已被很多黑客利用。網絡安全領域資深人士透露,由於OpenSSL漏洞的出現,8日、9日的地下交易市場中,各種兜售非法數據的交易顯得異常火爆,比如一份某省工程類人員的信息數據,該信息清晰顯示出大量人員的姓名、身份證號碼等。
  銀行銀聯支付不受影響
  中國金融認證中心應用開發部總經理林峰表示,這個漏洞存在於OpenSSL1.0.1系列版本中,之前的OpenSSL版本不受影響。天貓、淘寶使用的正是這個系列的版本,所以可以竊取到內存中的數據。銀行的用戶密碼還有一重加密保護,一般不會在SSL服務器解密,所以也就很難拿到銀行用戶的密碼。
  中國銀聯相關負責人回應稱,“銀聯在線支付”等基於互聯網的創新業務系統並未使用OpenSSL技術,持卡人可以放心使用。
  微軟、百度、噹噹:未受影響
  10日,微軟中國方面回應稱,沒有任何微軟產品受到此漏洞的影響。
  百度方面也表示,百度錢包不受影響。電商噹噹網表示,噹噹網固有的賬戶體系非常安全,消費者可放心購物。
  盛大方面表示,盛大通行證的認證主要是通過硬件加密等方式來使用https協議,目前已經和供應商確認過,一方面所使用的OpenSSL版本不會受影響,另一方面針對有可能出現的安全隱患,已在第一時間通過升級進行了處理。
  阿裡、京東、騰訊:已修複
  9日,此次漏洞事件引發最多泄密擔憂的阿裡系急忙表示漏洞已經修複。阿裡安全回應稱,關於OpenSSL某些版本存在基於基礎協議的通用漏洞,阿裡各網站已經在第一時間進行了修複處理,目前已經處理完畢,包括淘寶、天貓、支付寶等各大網站都確認可以放心使用。其中淘寶方面還透露,從目前監控的情況來看,未發現賬戶異常。
  京東則表示,已於9日完成了修補處理,避免了這次漏洞的侵襲。
  騰訊稱,騰訊已在第一時間進行處理,目前相關的產品業務如郵箱、財付通、QQ、微信等都已經修複完畢。網易方面告訴記者,國內安全漏洞監測平臺烏雲報告提到的網易郵箱OpenSSL漏洞已修複。
  三句提醒
  ■別在有漏洞的網站上登入賬號■修改賬號密碼還來得及■電子郵箱退出後再登錄一次
  360安全專家表示,從該漏洞被公開到用戶修複漏洞的這段時間內,已經有黑客利用“心臟出血”漏洞進行攻擊,有些網站用戶信息或許已被黑客獲取。接下來,黑客可能會利用獲取到的這些用戶信息,進行各類攻擊。在未來一段時間里,針對用戶的“次生危害”(盜取賬號、詐騙等安全風險)或許會集中顯現。
  據360最新監測數據顯示,71.9%的網站已經修複該致命漏洞,但仍有28.1%的網站尚未修複漏洞。其中,在未修複漏洞的網站類型中,企業官網、論壇社區、電商團購等三類網站最多。
  安全專家建議廣大網友,在OpenSSL漏洞得到各大網站徹底修複前,儘量避免在有漏洞的網站上登入賬號是最好的自保措施。在漏洞修複後,最好儘快修改賬號密碼。
  安全人士指出,即使用戶之前登錄的網站發生了泄密,因為黑客掌握的賬號密碼數量龐大,短時間內無法消化使用,所以對於單個用戶而言儘快更改密碼設置是非常必要的。但是,對於一些郵箱類網站,則需再登錄郵箱一次,然後點擊退出登錄,因為黑客利用cookie緩存可直接登錄。
  相關新聞
  免費WIFI多數“裸奔”小心網銀被刷、話費被盜
  重慶市渝中區的小郜是個“蹭網族”,今年清明節期間到外地旅游時在酒店里發現了好幾個不需密碼的免費WIFI,當時沒多想就選了一個,沒想到連接之後手機就中了惡意扣費病毒,400多元話費10分鐘內不翼而飛。
  類似遭遇在全國各地輪番上演,不少人損失慘重。近日,江蘇南京市民張明使用公共場所的WIFI後,電腦被黑客入侵,網銀上的6萬多元在兩天內只剩下500元。蹊蹺的是,他的U盾、銀行卡都在,賬戶還綁定了手機短信,密碼也沒丟,卡內的錢就被人分69次盜刷了。經調查,張明的錢是通過三個第三方支付平臺“溜走”,他的手機還被黑客做了手腳,收短信的功能被屏蔽,所以發生的69次交易他根本沒收到任何短信提示。
  信息安全專家、國際關係學院信息科技系副主任王標說,調查顯示,目前大多數公共場所的免費WIFI普遍缺少安全防護措施,黑客能輕鬆通過WIFI給手機、電腦推送彈窗廣告、木馬病毒,還可能盜取QQ、微信賬號密碼、個人隱私信息等。
  此外,黑客可在用戶瀏覽網站時植入一段HTML代碼,使其自動跳轉到釣魚網站。如果此時登錄網銀、支付寶等進行交易,用戶的賬號密碼極有可能被竊取,進而導致賬戶盜刷。
  不僅如此,用戶使用免費WIFI時,還有可能掉入黑客自行搭建的“山寨WIFI”陷阱。“黑客自行搭建一個免費WIFI熱點,技術上比較簡單。”信息安全專家、南京瀚海源信息科技有限公司CEO方興表示,從理論上看,只需要一臺電腦、一套無線路由器及從網上下載一個網絡分析軟件就可以截取用戶數據。
  方興說,黑客往往會搭建一個與公共WIFI名稱很相近的WIFI熱點,且不設登錄密碼,誘使用戶連接,用戶在使用這種“山寨WIFI”時,傳輸的數據就會被黑客監控,如果登錄賬戶,黑客可以從數據包里查到用戶個人隱私、賬號密碼等重要信息。
  提醒
  各方回應
  莫用免費WIFI操作網銀、支付寶
  1.連接非加密的或陌生的WIFI,最好下載安裝手機安全軟件。2.用戶儘量不要用免費WIFI進行網銀、支付寶等涉及財務的操作,必須進行此類操作時,專門的應用軟件客戶端的安全性要高於第三方瀏覽器。L
  本版綜合新華社、京華時報  (原標題:黑客開始攻擊漏洞賬號被盜可能集中爆發)
創作者介紹

星巴克

wz89wzvsck 發表在 痞客邦 PIXNET 留言(0) 人氣()