OpenSSL 漏洞影響遠超 CSDN 攜程泄露事件

        文/搜狐IT 丁丁

        素有中國黑客元老之稱的goodwell日前對搜狐IT表示，由于全球超過2/3的網站使用開源的OpenSSL加密技術，近日被曝光的OpenSSL漏洞影響力將遠遠超過當年CSDN天涯等網站數據泄露事件。

         SSL，全稱Secure Socket Layer。Netscape公司在推出第一個Web瀏覽器的同時，提出了SSL協議標準，用以保障在Internet上數據傳輸之安全。利用數據加密 (Encryption)技術，可確保數據在網絡上之傳輸過程中不會被截取及竊聽。OpenSSL的heartbleed漏洞據稱在2012年就被發現， 但在今年4月7日才被正式編號收錄。

        goodwell稱，正是因為這個heartbleed（心臟出血）漏洞2年前就已經被發現，這 2年的時差足矣使黑客通過直接嗅探網站后臺管理 地址，獲得使用網站的后臺管理權限。在獲取這些網站的管理權限后，黑客可以很輕松地將網站用戶數據信息打包“拖庫”（竊取數據庫）。對于敵對的國家，這一 網絡安全漏洞甚至會影響國家安全。

        據了解，盡管還有諸如TLS等加密技術，但由于OpenSSL開源免費，Apache、Nginx 等網絡服務器都使用了這一加密技術，全球受影響的網站超過2/3。包括Google、亞馬遜、非死book、Yahoo、GoDaddy、 Instagram、 Pinterest等網站都受到不同程度的影響。烏云網的漏洞列表顯示，國內的知名網站如京東、蘇寧、騰訊微信等也受到了影響。

         鑒于這一OpenSSL漏洞只影響網絡服務器端，與個人的電腦安全性沒有關系，goodwell對搜狐IT表示，對個人用戶來講，目前應該感覺 不到有什么問題，不會受到太多的重視。但從黑客的操作手法來看，一般對于網站數據庫泄露事件，只有當這些數據庫被黑客利用得沒有價值了，才會有一部分在網 絡上公開。當大網站的數據庫泄露事件被公開時，才會引起人家的關注。

        goodwell同時建議用戶近期少登陸使用https協議的頁面，如網銀、網店等，并養成按時改密碼的習慣。

        近幾年國內重大信息泄露事件一覽：

        2011年12月，CSDN、天涯等知名網站被曝后臺用戶數據曾被“拖庫”，大約4600萬用戶的登陸賬號被泄露。

        2013年10月，包括如家、漢庭在內的多家酒店開房信息被泄露，約2000萬人的開房信息被共享。

        2013年11月，騰訊QQ群數據泄露事件被披露，大概有7000多萬個QQ群，12億多個QQ號碼能被公開查詢。

        2014年3月，攜程網服務器被曝存在漏洞，安全支付日志可遍歷下載，大量用戶銀行卡信息被泄露。

載自: 搜狐IT