4月9日消息，據(jù)華爾街報道，許多網(wǎng)站使用的OpenSSL安全協(xié)議存在漏洞，可能導(dǎo)致大量隱藏數(shù)據(jù)被盜取。據(jù)谷歌和網(wǎng)絡(luò)安全公司Codenomicon的研究人員透露，OpenSSL加密代碼中一種名為Heartbleed的漏洞存在已有兩年之久。三分之二的活躍網(wǎng)站均在使用這種存在缺陷的加密協(xié)議。他們指出可使用的補(bǔ)丁，網(wǎng)站可用以自我保護(hù)以及維護(hù)用戶的安全。

[[111292]]

包括主頁和郵箱在內(nèi)的數(shù)個雅虎網(wǎng)站也存在這種安全漏洞。雅虎發(fā)言人今日表示，“我們的團(tuán)隊已經(jīng)成功地完成雅虎各個網(wǎng)站的修復(fù)。”

一些零售商表示，在雅虎修復(fù)漏洞之前，他們能夠獲得雅虎的用戶名和密碼。

網(wǎng)絡(luò)安全公司Qualys的一名研究員伊萬•瑞斯提克(Ivan Ristic)創(chuàng)建了一種測試網(wǎng)站是否存在Heartbleed漏洞的工具。工具發(fā)布當(dāng)天，他的網(wǎng)頁訪問量增加了7倍。他估計，使用SSL的服務(wù)器中，有30%存在漏洞。

經(jīng)瑞斯提克的工具測試顯示，許多大型網(wǎng)站，如谷歌、亞馬遜、eBay等網(wǎng)站較安全，未受到這種漏洞的影響。

越來越多的網(wǎng)站使用加密代碼來保護(hù)如用戶名、密碼和信用卡號等數(shù)據(jù)，這能夠防止黑客通過網(wǎng)絡(luò)盜取個人信息。

這種加密協(xié)議被稱為SSL(Secure Sockets Layer安全套接層)或TLS(Transport Layer Security Protocol安全傳輸層協(xié)議)。當(dāng)一個網(wǎng)站使用這種安全協(xié)議，瀏覽器中的地址欄旁會出現(xiàn)掛鎖圖標(biāo)。

編寫加密代碼十分復(fù)雜，所以很多網(wǎng)站使用一種開源的免費(fèi)安全協(xié)議，即OpenSSL。如亞馬遜，該公司在其網(wǎng)站上建議，云計算服務(wù)Amazon Web Services的用戶在為網(wǎng)頁加密時使用OpenSSL。但有關(guān)OpenSSL漏洞的消息爆出后，亞馬遜對記者的置評請求未立即回應(yīng)。

OpenSSL存在的缺陷在于，使用某些最新OpenSSL版本的Web服務(wù)器會存儲一些不受內(nèi)存保護(hù)的數(shù)據(jù)。黑客可以獲取這些數(shù)據(jù)，重建有關(guān)用戶或密鑰的信息，進(jìn)而監(jiān)視過去或?qū)淼募用軘?shù)據(jù)。

一名研究員表示，“任何人都可以利用這種漏洞在互聯(lián)網(wǎng)上獲取數(shù)據(jù)，而且場地不限，我可以在自己的辦公室，也可以在其他國家實(shí)現(xiàn)數(shù)據(jù)的盜用。”

OpenSSL漏洞的消息一出，許多網(wǎng)站措手不及，未能及時采取補(bǔ)救措施。

旨在保護(hù)互聯(lián)網(wǎng)用戶身份的Tor Project公司總裁羅杰·丁格勒戴(Roger Dingledine)表示， “接下來幾天各個網(wǎng)站開始著手修復(fù)漏洞，為了確保個人信息或隱私不被竊取，這段時間最好完全不用互聯(lián)網(wǎng)。”(惜辰)