导读：OpenSSL日前被曝出本年度最危险的安全漏洞，初步评估有不少于30%的网站中招，其中包括网友们最常用的购物、网银、社交、门户等知名网站和服务。利用这一被命名为“心脏出血”的漏洞，黑客可以获取到以https开头网址的用户登录账号和密码、cookie等敏感数据。“心脏出血”漏洞将影响至少两亿中国网民。

       事件·影响

　　事实上，最新的调查显示，4月7日凌晨，国内就出现了针对OpenSSL“心脏出血”漏洞的黑客攻击迹象。360网站安全检测平台对国内120万家经过授权的网站扫描，其中有3万多个网站主机受漏洞影响。4月7日、4月8日期间，共计约2亿网友访问了存在漏洞的网站。

　　360安全专家石晓虹博士表示，“心脏出血”漏洞堪称“网络核弹”，初步评估一批https登录方式的主流网站，有不少于30%的网站中招，其中包括网银、网购、网上支付、邮箱、门户、微信、微博等知名网站和服务。无论用户电脑多么安全，只要网站使用了存在漏洞的OpenSSL版本，用户登录该网站时就可能被黑客实时监控到登录账号和密码。

　　据了解，黑客获取的是离内存最近的64K字节的内容，大概是六万多个字。这其中很可能包含用户隐私信息，甚至网站密钥。

　　网络安全专家、南京翰海源信息技术有限公司创始人方兴表示，通过这个漏洞，可以泄露以下四方面内容：一是私钥，所有https站点的加密内容全能破解；二是网站用户密码，用户资产如网银隐私数据被盗取；三是服务器配置和源码，服务器可以被攻破；四是服务器“挂掉”不能提供服务。

　　百度[微博]钱包也发布声明称，近日，OpenSSL漏洞已排山倒海向互联网安全界袭来，攻击者可持续读取服务器内存数据，窃取用户cookie、口令等敏感数据，已确定1.0.1—1.0.1f、1.0.2beta1版本均在此列。

　　事件·最新

　　360网站卫士的OpenSSL漏洞检测平台昨天发现，清华大学等几所高校的某项网络服务存在“心脏出血”漏洞，同时也监测到了有来自北京联通的一个IP针对这些服务进行漏洞探测，360紧急通知相关高校进行修复。通过进一步分析发现，某高校的网络服务存“心脏出血”漏洞源自于其VPN硬件设备。360提醒用户，如果通过检测发现问题，可以第一时间联系硬件设备提供商，通过软件升级或降级等方式进行修复。

　　事件·提示

　　经360网络攻防实验室检测发现，全球开放443端口的主机共有40041126个，其中受OpenSSL“心脏出血”漏洞影响的主机有32335个。

　　360已经第一时间向12万网站用户发送提醒邮件，提醒广大站长尽快将OpenSSL升级至 1.0.1g版本，以修复该漏洞。

　　为帮助用户避免相应风险，360网站卫士推出OpenSSL漏洞在线检查工具(http://wangzhan.360.cn/heartbleed)，输入网址就能够检测网站是否存在该漏洞。

　　石晓虹提醒广大互联网服务商，尽快将OpenSSL升级至1.0.1g版本进行修复。同时建议广大网友，在此漏洞得到修复前，暂时不要在受到漏洞影响的网站上登录账号，尤其是对那些没有明确采取补救措施的网站，更应该谨慎避免泄密风险。在网站完成修复升级后，及时修改密码。

　　事件·应对

　　对于OpenSSL存在的漏洞，昨天，阿里巴巴[微博]、腾讯、百度、360、京东等中国互联网公司均表示，已第一时间对漏洞进行了修复。

　　腾讯和阿里巴巴均回应称，已在第一时间对OpenSSL某些存在基础协议通用漏洞的版本进行了修复处理，目前已经处理完毕，腾讯包括邮箱、财付通、QQ、微信等产品和网站，阿里包括淘宝、天猫[微博]、支付宝[微博]等各网站都确认可以放心使用。

　　阿里小微金融服务集团(筹)首席风险官胡晓明称，通过4月8日一晚上的通宵工作，已经完全修复了OpenSSL出现漏洞后的安全信息问题，并重新回顾了这个时间点支付宝加密机制是否存在问题，没有发现任何问题。

　　百度钱包称，在这次风暴中未受影响，请大家继续安心使用。京东表示，已对系统全面排查并升级，目前不建议用户修改密码。

　　360公司相关负责人也表示，360历来有一个漏洞检索机制，4月8日上午10点28分抓取到了这个漏洞信息，立即开始自我评估，搜索自己哪些服务器使用了OpenSSL协议，最后获得了一个服务器列表，一共有100-200台服务器受到影响，然后立刻要求服务器团队开始修复，整个修复过程持续到4月9日凌晨5点多。

　　事件·后续

　　北京知道创宇信息技术有限公司持续监测发现，一些公司升级了OpenSSL；一些公司选择暂停SSL服务，仍继续使用其主要功能；有的为规避风险，干脆暂停网站全部服务；更有一部分根本没有采取任何措施。

　　对于以上公司的处理方式，方兴认为，相对于当前可能出现的信息泄密和财产损失，其影响将是持久深远的，并不是此次修复漏洞后就安全了，攻击者还可以利用获得的数据进行更大程度上的破坏。

　　一位安全行业人士透露，他在某著名电商网站上用这个漏洞尝试读取数据，在读取200次后，获得了40多个用户名、7个密码，用这些密码，他成功地登录了该网站。

　　事件·观察

　　对于此次OpenSSL漏洞给中国互联网企业带来的系统性风险，有专家指出，出于安全考虑，政府有关职能部门应在第一时间向全国发出警报。但从目前反应出的情况来看，我国重大安全事件的紧急处置及联动机制还不够健全。

　　国家应急中心一位负责人也指出，我国从2003年起，就开始试图建立漏洞触发机制，但这一块工作的细化和操作在实践层面还缺乏清晰的路径。

　　中国计算机学会信息安全专业委员会主任严明认为，对于政府职能部门，目前公安或者其他相关部门应当立即启动应急措施，促进通报漏洞信息，并强制推动所有受到漏洞影响的网站进行技术升级和修补。在这一阶段完成后，再对那些出现了财产侵占的非法行为进行查处追责。

　　对于企业而言，则要第一时间做出反应，修补自身漏洞，比如该漏洞8日被公布，一些企业到了9日才开始补救，一些甚至还无动于衷。

　　本版文/本报记者 吴琳琳制图/潘璠