留言

      新聞動態

      互聯網"心髒出血":這兩天最好不要使用網上支付?
      來源:本站 發布時間:2013-05-19

       
         
          4月10日,被稱爲“心髒出血”的OpenSSL協議安全漏洞引發了人們對網上支付的擔憂。傳言稱,這個漏洞“波及幾乎所有網站”,用戶“不登錄還好,一登錄網站就有可能導致用戶名和密碼失竊”。截至昨日18時12分,百度搜索關鍵詞“OpenSSL漏洞”已有約159000條結果。網上的建議是:“這兩天千萬不要登錄一切涉及網銀電商的網站,忍到這些網站修補漏洞後再徹底更換密碼。”這個建議靠譜嗎?南方日報記者就此采訪了電商、銀行和互聯網安全業內人士。

      建議待網站修補漏洞後改密碼

      據了解,目前“心髒出血”安全漏洞已被正式命名爲CVE-2014-0160。OpenSSL緊急發布了1.0.1g版本修複這一問題,但網站對這一軟件的升級還需要一段時間。

      業內人士建議,普通用戶暫時不要急于更換密碼,要等相關網站完成修補安全漏洞之後再行更換。如果網站還未修複漏洞,修改密碼的操作可能導致新密碼被竊。

      國內一家安全企業研究部總監余弦表示,經檢測,中國有至少3萬台服務器“帶病”工作,它們分布于銀行網銀系統、第三方支付、電商網站中。漏洞修補期間,確認有關網站安全之前,不要使用網銀、電子支付和電商購物等功能,以避免用戶密碼被黑客竊取。“一位銀行朋友告訴我,他們補上這個漏洞需要兩天時間。這兩天大家最好就別登錄網銀了。如果已經登錄過了,那就考慮換一下密碼吧。”

      同時,業內人士建議,諸如支付寶、郵箱等重要服務最好綁定手機,盡可能開通手機驗證或動態密碼,登錄時不僅需要驗證用戶名和密碼,還應通過手機驗證碼登錄。此外,個人用戶應密切留意未來數日的財務報告,因爲攻擊者可以獲取服務器內存中的信用卡信息。對于銀行卡的陌生扣款,應特別關注。

      回應多家公司稱已修複漏洞

      對于OpenSSL存在的漏洞,昨日,阿裏巴巴、百度、當當網等公司均表示,已經在第一時間對漏洞進行了修複。

      阿裏巴巴集團安全應急響應中心回應稱,關于OpenSSL某些版本存在基于基礎協議的通用漏洞,阿裏各網站已經在第一時間進行了修複處理,包括淘寶、天貓、支付寶等各大網站都確認可以放心使用。

      百度錢包隨即也發布聲明稱,“近日,OpenSSL漏洞已排山倒海向互聯網安全界襲來,攻擊者可持續讀取服務器內存數據,竊取用戶cookie、口令等敏感數據,已確定1.0.1—1.0.1f,1.0.2beta1版本均在此列。百度錢包在這次風暴中未受影響,請大家繼續安心使用。”當當網表示,目前並未收到任何有關此漏洞的信息,客服也未接到相關投訴,具體細節還需與技術進行了解。

      昨日,南方日報記者向各大銀行了解相關情況,不少銀行表示並未因此受到影響。“目前一切正常,還沒有客戶咨詢這個事情。”某股份制銀行負責人向記者透露,很多銀行的網銀除了常規的密碼,還有動態密碼和Ukey,加上銀行自身後台防火牆和監測能力很強,日常支付需要手機驗證碼等安全措施,因此使用網銀支付不必太擔心。

      廣發銀行回複南方日報記者表示,漏洞曝出後該行立即組織力量對網上銀行、手機銀行等互聯網應用系統展開了風險排查。經排查,其互聯網應用系統未發現該漏洞,廣發銀行網上銀行、手機銀行等重要互聯網支付渠道不受影響。

      ■鏈接

      OpenSSL:互聯網“安全鎖”

      OpenSSL是爲網絡通信提供安全及數據完整性的一種安全協議,囊括主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協議,因其開源、實用的特性,目前被各大網銀、在線支付、電商網站、門戶網站、電子郵件等重要網站廣泛使用。可以說,OpenSSL是目前互聯網上銷量最大的門鎖,而此次曝出的安全漏洞,可以讓特定版本的OpenSSL成爲無需鑰匙即可開啓的“廢鎖”。黑客通過入侵使用特定版本OpenSSL,每次可以浏覽用戶的64K信息,只要有足夠的耐心和時間,就可以翻出足夠的數據,大量以https開頭的網站,都有可能被黑客利用漏洞盜取用戶賬號、銀行密碼、郵件信息等敏感數據。