紧急扩散;近期谨慎登陆网购账户!账号密码可能被盗
紧急扩散:近期谨慎登陆网购账户!账号密码可能被盗】近日,代号"心脏出血"的重大网络漏洞被曝光,黑客借此获取前缀为"https"网站的账户密码!微信、淘宝等支付、社交网站均受影响。业内人士建议,在网站修复前,暂不登录网购、支付类账户。网站修复后,尽快改密码百度百科中关于“心脏出血”的危害的介绍:
Heartbleed(心脏出血)能让攻击者从服务器内存中读取包括用户名、密码和信用卡号等隐私信息在内的数据,已经波及大量互联网公司。
受影响的服务器数量可能多达几十万。其中已被确认受影响的网站包括 Imgur、OKCupid、Eventbrite 以及 FBI 网站等,不过 Google 未受影响。
Github2014年4月9日发布了一个受影响网站的列表,在这个列表上发现了诸多知名互联网企业,例如雅虎、Stackoverflow.com、Outbrain.com、OKCupid.com、Steamcommunity.com、 Slate.com和 Entrepreneur.com等。其中很多网站都表示他们已经解决了这个问题。
OpenSSL“心脏出血”漏洞的严重性远比想象的严重,一些用户没有考虑到手机上大量应用也需要账号登陆,其登陆服务也有很多是OpenSSL搭建的,因此用户在这阶段用手机登陆过网银或进行过网购,则需要在漏洞得到修补后,更改自己的密码。
关于在中国的危害范围:
ZoomEye系统的扫描:根据该系统扫描,中国全境有1601250台机器使用443端口,其中有33303个受本次OpenSSL漏洞影响。443端口仅仅是OpenSSL的一个常用端口,用以进行加密网页访问;其他还有邮件、即时通讯等服务所使用的端口,因时间关系,尚未来得及扫描。
ZoomEye是一套安全分析系统,其工作原理类似Google,会持续抓取全球互联网中的各种服务器,并记录服务器的硬件配置、软件环境等各类指标,生成指纹,定期对比,以此确定该服务器是否存在漏洞或被入侵。在此次“心脏出血”漏洞检测中,给该系统后面加上一个“体检”系统,过滤出使用问题OPenSSL的服务器,即可得出存在安全隐患的服务器规模。
从该系统“体检”结果看,比三万台问题服务器更令人惊心的,是这些服务器的分布:它们有的在银行网银系统中,有的被部署在第三方支付里,有的在大型电商网站,还有的在邮箱、即时通讯系统中。
自这个漏洞被爆出后,全球的黑客与安全专家们展开了竞赛。前者在不停地试探各类服务器,试图从漏洞中抓取到尽量多的用户敏感数据;后者则在争分夺秒地升级系统、弥补漏洞,实在来不及实施的则暂时关闭某些服务。这是最危险的地方:黑客们已经纷纷出动,一些公司的负责人却还在睡觉。而如果黑客入侵了服务器,受损的远不止公司一个个体,还包括存放于公司数据库的大量用户敏感资料。更为麻烦的是,这个漏洞实际上出现于2012年,谁也不知道是否已经有黑客利用漏洞获取了用户资料;而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以还没有办法确认哪些服务器被入侵,也就没法定位损失、确认泄漏信息,从而通知用户进行补救。
应急对应办法:
1)不要在受影响的网站上登录帐号——除非确信该公司已经修补了这一漏洞。如果该公司没有通告相关进展,可以询问他们的客服团队。
一些网站(包括雅虎和OKCupid)受了影响但表示他们已经解决了全部或部分问题,如果不放心,可以在Filippo网站上查看各个网站安全与否,如果被标为红色就暂时不要登录。
很多人的第一反应是赶快修改密码,但是网络安全专家的建议是等到网站确认修复再说。
2)一收到网站的安全修补确认,就立即修改银行、电子邮件等敏感帐号的密码。即便你采用了两步认证(即在密码之外多一重验证信息),推荐修改密码。
3)不要不好意思联系掌握个人的数据的小企业以确保个人信息安全。雅虎和Imgur等知名公司当然知道这个问题,但是一些小企业可能还没发现它,所以个人要积极主动地维护个人信息安全。
4)密切关注未来数日内的财务报告。因为攻击者可以获取服务器内存中的信用卡信息,所以要关注银行报告中的陌生扣款。
但是,即便按照上述方法操作,网页浏览活动也依然存在一定风险。Heartbleed甚至能影响追踪网站用户活动的浏览器Cookie,所以只访问不登录也有风险。
松滋100网并没有应用SSL,所以不受这一漏洞的影响,请各位安心访问松滋100网。
页:
[1]