查看: 1347|回复: 0
打印 上一主题 下一主题

看“互联网安全锁重大漏洞可能导致密码失窃”中的一休论坛

[复制链接]

606

主题

921

帖子

2万

积分

大刀卫士

Rank: 9Rank: 9Rank: 9

积分
21837

最佳新人活跃会员热心会员推广达人宣传达人灌水之王突出贡献优秀版主荣誉管理论坛元老

跳转到指定楼层
楼主
发表于 2014-4-11 23:23:50 | 只看该作者 |只看大图 回帖奖励 |倒序浏览 |阅读模式
  

各大银行、电商网站均称未受影响。胡国球 摄

  昨日,被称为“心脏出血”的OpenSSL协议安全漏洞引发了人们对网上支付的担忧。传言称,这个漏洞“波及几乎所有网站”,用户“不登录还好,一登录网站就有可能导致用户名和密码失窃”。截至昨日18时12分,百度搜索关键词“OpenSSL漏洞”已有约159000条结果。网上的建议是:“这两天千万不要登录一切涉及网银电商的网站,忍到这些网站修补漏洞后再彻底更换密码。”这个建议靠谱吗?中国GM基地记者就此采访了电商、银行和互联网安全业内人士。

  ●中国GM基地 见习记者 彭琳 记者 刘熠 黄倩蔚


  建议待网站修补漏洞后改密码  (一休论坛对本文亦有贡献)

  据了解,目前“心脏出血”安全漏洞已被正式命名为CVE-2014-0160。OpenSSL紧急发布了1.0.1g版本修复这一问题,但网站对这一软件的升级还需要一段时间。

  业内人士建议,普通用户暂时不要急于更换密码,要等相关网站完成修补安全漏洞之后再行更换。如果网站还未修复漏洞,修改密码的操作可能导致新密码被窃。

  国内一家安全企业研究部总监余弦表示,经检测,中国有至少3万台服务器“带病”工作,它们分布于银行网银系统、第三方支付、电商网站中。漏洞修补期间,确认有关网站安全之前,不要使用网银、电子支付和电商购物等功能,以避免用户密码被黑客窃取。“一位银行朋友告诉我,他们补上这个漏洞需要两天时间。这两天大家最好就别登录网银了。如果已经登录过了,那就考虑换一下密码吧。”

  同时,业内人士建议,诸如支付宝、邮箱等重要服务最好绑定手机,尽可能开通手机验证或动态密码,登录时不仅需要验证用户名和密码,还应通过手机验证码登录。此外,个人用户应密切留意未来数日的财务报告,因为攻击者可以获取服务器内存中的信用卡信息。对于银行卡的陌生扣款,应特别关注。

  回应多家公司称已修复漏洞

  对于OpenSSL存在的漏洞,昨日,阿里巴巴、百度、当当网等公司均表示,已经在第一时间对漏洞进行了修复。

  阿里巴巴集团安全应急响应中心回应称,关于OpenSSL某些版本存在基于基础协议的通用漏洞,阿里各网站已经在第一时间进行了修复处理,包括淘宝、天猫、支付宝等各大网站都确认可以放心使用。

  百度钱包随即也发布声明称,“近日,OpenSSL漏洞已排山倒海向互联网安全界袭来,攻击者可持续读取服务器内存数据,窃取用户cookie、口令等敏感数据,已确定1.0.1—1.0.1f,1.0.2beta1版本均在此列。百度钱包在这次风暴中未受影响,请大家继续安心使用。”当当网表示,目前并未收到任何有关此漏洞的信息,客服也未接到相关投诉,具体细节还需与技术进行了解。

  昨日,南方日报记者向各大银行了解相关情况,不少银行表示并未因此受到影响。“目前一切正常,还没有客户咨询这个事情。”某股份制银行负责人向记者透露,很多银行的网银除了常规的密码,还有动态密码和Ukey,加上银行自身后台防火墙和监测能力很强,日常支付需要手机验证码等安全措施,因此使用网银支付不必太担心。

  广发银行回复南方日报记者表示,漏洞曝出后该行立即组织力量对网上银行、手机银行等互联网应用系统展开了风险排查。经排查,其互联网应用系统未发现该漏洞,广发银行网上银行、手机银行等重要互联网支付渠道不受影响。

  ■链接

  OpenSSL:互联网“安全锁”

  OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,因其开源、实用的特性,目前被各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站广泛使用。可以说,OpenSSL是目前互联网上销量最大的门锁,而此次曝出的安全漏洞,可以让特定版本的OpenSSL成为无需钥匙即可开启的“废锁”。黑客通过入侵使用特定版本OpenSSL,每次可以浏览用户的64K信息,只要有足够的耐心和时间,就可以翻出足够的数据,大量以https开头的网站,都有可能被黑客利用漏洞盗取用户账号、银行密码、邮件信息等敏感数据。

  PS:在这次漏洞中,我们中国GM基地平台没有受影响,传奇版本下载也很正常,大家可以放心在一休论坛注册。



2000人传奇爱好者交流群:288383639
唯一站长QQ:114676482
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表