據(jù)中國(guó)之聲《新聞縱橫》報(bào)道，這兩天，有種感覺，我們的計(jì)算機(jī)常識(shí)不停被刷新，為什么這么說呢？Windows XP停止服務(wù)的話題余溫未退，OpenSSL存在漏洞的消息又鋪天蓋地而來。其實(shí)，OpenSSL就是互聯(lián)網(wǎng)上銷量最大的鎖。有了這個(gè)“鎖”的保護(hù)，第三方就無法讀取你與訪問網(wǎng)站之間的任何通訊信息。比如信用卡密碼、電子郵件等等……可是，最近這把重要的“鎖”出現(xiàn)了問題，成為不用鑰匙便可打開的廢鎖。

　　某國(guó)外安全公司近日發(fā)布報(bào)告稱，許多網(wǎng)站使用的為了防范用戶密碼、賬號(hào)信息被泄露的OpenSSL安全協(xié)議存在漏洞，可能導(dǎo)致大量隱藏?cái)?shù)據(jù)被盜取。另據(jù)谷歌研究人員透露，這種漏洞存在已有兩年之久，全球三分之二的活躍網(wǎng)站均在使用這種存在缺陷的加密協(xié)議。據(jù)360網(wǎng)站安全檢測(cè)平臺(tái)對(duì)國(guó)內(nèi)120萬家經(jīng)過授權(quán)的網(wǎng)站掃描，其中有超過1萬1千個(gè)網(wǎng)站主機(jī)受該漏洞影響。4月7號(hào)、4月8號(hào)兩天時(shí)間，共計(jì)約2億網(wǎng)民訪問了存在OpenSSL漏洞的網(wǎng)站?；ヂ?lián)網(wǎng)安全鎖出現(xiàn)漏洞會(huì)帶來怎樣的影響？用戶利益又該如何維系？

　　究竟什么是OpenSSL？了望智庫TMT研究總監(jiān)王云輝介紹，如果用專業(yè)的表述，OpenSSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，它通過一種開放源代碼的SSL協(xié)議，實(shí)現(xiàn)網(wǎng)絡(luò)通信的高強(qiáng)度加密，目前正在各大網(wǎng)銀、在線支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件等重要網(wǎng)站上廣泛使用。說的通俗點(diǎn)，這就是一個(gè)高強(qiáng)度加密的安全鎖。

　　王云輝：它相當(dāng)于網(wǎng)絡(luò)安全加密的一個(gè)協(xié)議，用戶和用戶之間傳遞信息如果不加密的話,可能被人在網(wǎng)絡(luò)上竊聽，所以大家會(huì)對(duì)它進(jìn)行加密再進(jìn)行傳送，它屬于協(xié)議的一種。

　　然而，這個(gè)高強(qiáng)度加密的安全鎖卻被曝存在問題，作為一家安全企業(yè)研究部總監(jiān)，北京知道創(chuàng)宇公司的余弦在國(guó)內(nèi)黑客圈資歷頗深。他向記者描述，這個(gè)漏洞被黑客命名為“heartbleed”，可以讓攻擊者獲得服務(wù)器上64K內(nèi)存中的數(shù)據(jù)內(nèi)容。這部分?jǐn)?shù)據(jù)中，可能存有安全證書、用戶名與密碼、聊天工具的消息、電子郵件以及重要的商業(yè)文檔等數(shù)據(jù)。

　　余弦：就好像把一個(gè)數(shù)據(jù)庫給偷了似的，把一個(gè)網(wǎng)站給黑了，把里面的敏感信息給得到。

　　利用這一漏洞，黑客坐在自己家里電腦前，就可以實(shí)時(shí)獲取到很多https開頭網(wǎng)址的用戶登錄賬號(hào)密碼，而且場(chǎng)地不限，比如說，黑客可以在自己的辦公室，也可以在其他國(guó)家實(shí)現(xiàn)數(shù)據(jù)的盜用。

　　知名IT觀察員洪波：它可能會(huì)讀取仍然保存在網(wǎng)站服務(wù)器內(nèi)存當(dāng)中的用戶的信用卡數(shù)據(jù)，包括支付密碼的數(shù)據(jù)等等，如果是沒有保存在服務(wù)器的內(nèi)存當(dāng)中，沒有問題。所以如果你現(xiàn)在還在使用這種沒有經(jīng)過修補(bǔ)的安全登錄服務(wù)，那么就有可能信息會(huì)被泄露。

　　據(jù)介紹，國(guó)內(nèi)大概33000多臺(tái)服務(wù)器都受到這個(gè)漏洞的影響，國(guó)際來說，有71萬臺(tái)主機(jī)被侵襲。大家所熟悉的很多網(wǎng)站都受到了影響，包括淘寶、微信公眾號(hào)、YY語音、陌陌、雅虎郵件、網(wǎng)銀等各種網(wǎng)站，基本上都躺著中了槍。

　　就連大名鼎鼎的NASA(美國(guó)航空航天局)也已宣布，用戶數(shù)據(jù)庫遭泄露。王云輝將這一漏洞在整個(gè)互聯(lián)網(wǎng)中的影響比喻為核彈級(jí)。

　　王云輝：就像人的身體一樣，比如說磕了碰了打個(gè)繃帶就好了，但是這次的漏洞過去它本身是一個(gè)高度安全的協(xié)議，就好像人體的免疫系統(tǒng)一樣，它是保證你這個(gè)人不生病的，但是現(xiàn)在它自己出了問題，它的應(yīng)用非常廣泛，從網(wǎng)站、到客戶端、到很多交互性的網(wǎng)絡(luò)信息傳輸中都在用它，就好像人體的免疫系統(tǒng)出了問題，那是什么病，那是艾滋病。

　　正如黑客給這一漏洞起的名字——heartbleed，心臟出血。漏洞被披露后，互聯(lián)網(wǎng)的安全核心，也開始滴血。網(wǎng)站們開始緊急預(yù)警和修復(fù)升級(jí)，阿里巴巴給中國(guó)之聲發(fā)來回復(fù)稱，旗下各網(wǎng)站已經(jīng)在第一時(shí)間進(jìn)行了修復(fù)處理，目前已經(jīng)處理完畢，包括淘寶、天貓、支付寶等各大網(wǎng)站都確認(rèn)可以放心使用。

　　另一方面，安全公司和余弦這樣的以善意方式使用自身技術(shù)的黑客們，忙著測(cè)試漏洞影響并進(jìn)行擴(kuò)展推衍，而更多的黑客們，則抓緊時(shí)間開始享受這場(chǎng)盛宴，高舉heartbleed作為武器，向自己久攻不下的網(wǎng)站發(fā)起沖鋒。

　　資深黑客余弦：地下黑客，他們?cè)?4小時(shí)以內(nèi)，在漏洞爆發(fā)的黃金期，拿著這個(gè)漏洞滿世界地刷，把漏洞影響的網(wǎng)站里面敏感的用戶信息給刷出來。

　　相比之下，最無辜的應(yīng)該屬普通用戶。

　　普通用戶：其實(shí)還是有一點(diǎn)擔(dān)心的，比如說我上網(wǎng)下載片子的記錄。/https這個(gè)我自己很清楚，支付寶要支付的時(shí)候都會(huì)跳轉(zhuǎn)到https的頁面，然后就可以付款。

　　普通用戶：那肯定是擔(dān)心啊，因?yàn)楝F(xiàn)在很多交易都是在網(wǎng)上操作的。如果需要的話肯定要經(jīng)常性換密碼。

　　很多用戶疑問，現(xiàn)在是否需要緊急修改密碼？王云輝建議，對(duì)用戶來說，為避免黑客再度獲取密碼，目前最好的辦法就是等到安全公司和各大網(wǎng)站明確表示已經(jīng)解決這一問題，再去修改。

　　王云輝：賬戶錢挺多的用戶最好的辦法就是拿起電話和銀行說，先暫停一下網(wǎng)銀和快捷支付，等到過幾天這個(gè)問題解決之后，再把密碼改回去再恢復(fù)。

　　事實(shí)上，包括攜程網(wǎng)數(shù)據(jù)泄露在內(nèi)，近期互聯(lián)網(wǎng)安全問題頻頻發(fā)生，為做到防范于未然，中消協(xié)消費(fèi)指導(dǎo)部副主任皮小林給消費(fèi)者支招：

　　皮小林：不要瀏覽不正規(guī)的網(wǎng)站、不要隨意登記身份信息，不要輕易填寫個(gè)人的詳細(xì)資料，能不填寫的個(gè)人信息就盡量不要填寫，分級(jí)管理消費(fèi)者自己的個(gè)人密碼，密碼的設(shè)置要?jiǎng)?wù)求多變。