OpenSSL 漏洞影响远超 CSDN 携程泄露事件

        文/搜狐IT 丁丁

        素有中国黑客元老之称的goodwell日前对搜狐IT表示，由于全球超过2/3的网站使用开源的OpenSSL加密技术，近日被曝光的OpenSSL漏洞影响力将远远超过当年CSDN天涯等网站数据泄露事件。

         SSL，全称Secure Socket Layer。Netscape公司在推出第一个Web浏览器的同时，提出了SSL协议标准，用以保障在Internet上数据传输之安全。利用数据加密 (Encryption)技术，可确保数据在网络上之传输过程中不会被截取及窃听。OpenSSL的heartbleed漏洞据称在2012年就被发现， 但在今年4月7日才被正式编号收录。

        goodwell称，正是因为这个heartbleed（心脏出血）漏洞2年前就已经被发现，这 2年的时差足矣使黑客通过直接嗅探网站后台管理 地址，获得使用网站的后台管理权限。在获取这些网站的管理权限后，黑客可以很轻松地将网站用户数据信息打包“拖库”（窃取数据库）。对于敌对的国家，这一 网络安全漏洞甚至会影响国家安全。

        据了解，尽管还有诸如TLS等加密技术，但由于OpenSSL开源免费，Apache、Nginx 等网络服务器都使用了这一加密技术，全球受影响的网站超过2/3。包括Google、亚马逊、非死book、Yahoo、GoDaddy、 Instagram、 Pinterest等网站都受到不同程度的影响。乌云网的漏洞列表显示，国内的知名网站如京东、苏宁、腾讯微信等也受到了影响。

         鉴于这一OpenSSL漏洞只影响网络服务器端，与个人的电脑安全性没有关系，goodwell对搜狐IT表示，对个人用户来讲，目前应该感觉 不到有什么问题，不会受到太多的重视。但从黑客的操作手法来看，一般对于网站数据库泄露事件，只有当这些数据库被黑客利用得没有价值了，才会有一部分在网 络上公开。当大网站的数据库泄露事件被公开时，才会引起人家的关注。

        goodwell同时建议用户近期少登陆使用https协议的页面，如网银、网店等，并养成按时改密码的习惯。

        近几年国内重大信息泄露事件一览：

        2011年12月，CSDN、天涯等知名网站被曝后台用户数据曾被“拖库”，大约4600万用户的登陆账号被泄露。

        2013年10月，包括如家、汉庭在内的多家酒店开房信息被泄露，约2000万人的开房信息被共享。

        2013年11月，腾讯QQ群数据泄露事件被披露，大概有7000多万个QQ群，12亿多个QQ号码能被公开查询。

        2014年3月，携程网服务器被曝存在漏洞，安全支付日志可遍历下载，大量用户银行卡信息被泄露。

载自: 搜狐IT