文本/soho IT丁丁
Google被称为中国黑客元老,最近对搜狐IT表示,全球超过2/3的网站使用了开源OpenSSL加密技术,因此最近公开的OpenSSL漏洞的影响将远远超过当年CSDN、天涯等网站数据泄露事件。
SSL,全称Secure Socket Layer。Netscape公司在推出第一个Web浏览器的同时,提出了SSL协议标准,用以保障在Internet上数据传输之安全。利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截取及窃听。OpenSSL的heartbleed漏洞据称在2012年就被发现,但在今年4月7日才被正式编号收录。
goodwell称,正是因为这个heartbleed(心脏出血)漏洞2年前就已经被发现,这2年的时差足矣使黑客通过直接嗅探网站后台管理地址,获得使用网站的后台管理权限。在获取这些网站的管理权限后,黑客可以很轻松地将网站用户数据信息打包“拖库”(窃取数据库)。对于敌对的国家,这一网络安全漏洞甚至会影响国家安全。
据了解,尽管还有诸如TLS等加密技术,但由于OpenSSL开源免费,Apache、Nginx等网络服务器都使用了这一加密技术,全球受影响的网站超过2/3。包括Google、亚马逊、Facebook、Yahoo、GoDaddy、Instagram、Pinterest等网站都受到不同程度的影响。乌云网的漏洞列表显示,国内的知名网站如京东、苏宁、腾讯微信等也受到了影响。
鉴于这一OpenSSL漏洞只影响网络服务器端,与个人的电脑安全性没有关系,goodwell对搜狐IT表示,对个人用户来讲,目前应该感觉不到有什么问题,不会受到太多的重视。但从黑客的操作手法来看,一般对于网站数据库泄露事件,只有当这些数据库被黑客利用得没有价值了,才会有一部分在网络上公开。当大网站的数据库泄露事件被公开时,才会引起人家的关注。
goodwell同时建议用户近期少登陆使用https协议的页面,如网银、网店等,并养成按时改密码的习惯。
近几年国内重大信息泄露事件一览:
2011年12月,CSDN、天涯等知名网站被曝后台用户数据曾被“拖库”,大约4600万用户的登陆账号被泄露。
2013年10月,包括如家、汉庭在内的多家酒店开房信息被泄露,约2000万人的开房信息被共享。
2013年11月,腾讯QQ群数据泄露事件被披露,大概有7000多万个QQ群,12亿多个QQ号码能被公开查询。
2014年3月,携程网服务器被曝存在漏洞,安全支付日志可遍历下载,大量用户银行卡信息被泄露。
我的《假装是极客》微信公众号:geeker_ding,欢迎大家关注。
喜欢这篇文章?猛戳右下方【+订阅】我的搜狐自媒体刊物吧:)