互联网心脏出血漏洞致电商不安全 黑客轻松获密码

近日，国际知名安全协议OpenSSL的官方网站发布了一个安全公告，称OpenSSL1.0.1f版本中存在一个严重漏洞（CVE-2014-0160），可导致网站服务器被黑客监听，用户的敏感信息被泄露。据媒体报道，目前国内约有3万余个网站受此漏洞影响，其中包括银行、电商、金融及社交等涉及用户关键信息的网站。

瑞星安全专家介绍，该漏洞被业内称为“心脏出血”漏洞，黑客可利用该漏洞获得大量的用户真实姓名、年龄、性别、手机号码、常用地址、身份证号码等，甚至连网银账密、购物网站支付密码等信息也可窃取。一旦网站因OpenSSL漏洞遭受黑客攻击，网民将在毫不知情的情况下面临隐私信息泄露及财产被盗的风险。目前，瑞星公司已紧急推出针对网站OpenSSL漏洞的免费在线检测服务，广大站长及网站管理员只需输入网站域名，即可进行自动分析检测，一旦发现漏洞可尽快修补。

据了解，OpenSSL是为网络通信提供安全及数据完整性的一种安全协议，它囊括了主要的密码算法、常用密钥和证书封装管理功能以及SSL协议，并提供了丰富的应用程序供测试或其他目的使用。目前，占据全球三分之二市场份额的Apache和Nginx服务器都在使用OpenSSL，此外，OpenSSL还被大量应用于电子邮件客户端、聊天软件等互联网应用软件中。

根据瑞星互联网攻防实验室出具的安全报告显示，本次OpenSSL心脏出血漏洞存在于ssl/dl_both.c文件中，是Heartbleed模块的一个Bug所致。漏洞可导致黑客远程读取网站服务器长达64K的数据，而这些数据中极有可能存储了用户的网银账号、订单信息、身份信息及支付密码等，黑客只需利用该漏洞反复进行内存记录读取，大量截获用户的敏感数据。

瑞星安全专家介绍，本次被曝的OpenSSL漏洞针对1.0.1-1.0.1f及1.0.2-beta1，其他版本不受影响。建议广大站长及网站管理员尽快修复OpenSSL漏洞，重新生成SSL私钥，替换SSL证书。如果发现网站已遭黑客攻击，则应立即提醒用户尽快更改密码，以避免因账号被盗遭受损失。