4月8日，在微软XP操作系统正式停服同一天，超变态网页游戏大全，互联网筑墙被划出一道致命的裂口——常用于电商、支付类接口等安全性极高网站的网络安全协议OpenSSL被曝存在高危漏洞，众多使用https的网站均可能受到影响。

余弦告诉记者，该漏洞并不一定导致用户数据泄露，因为该漏洞只能从内存中读取64K的数据，而重要信息正好落在这个可读取的64K中的几率并不大，但是攻击者可以不断批量地去获取这最新的64K记录，这样就很大程度上可以得到尽可能多的用户隐私信息。一位安全行业人士透露，他在某著名电商网站上用这个漏洞尝试读取数据，在读取200次后，获得了40多个用户名、7个密码，用这些密码，他成功地登录了该网站。

南京翰海源信息技术有限公司创始人方兴指出：此漏洞事实上非常简单，并不是因为算法被攻破，而是由于程序员在设计时没有做长度检查而产生的内在泄露漏洞。“打个形象的比喻，就像家里的门很坚固也锁好了，但是发现窗户虚掩着。”中国计算机学会计算机安全专业委员会主任严明说，这个漏洞是地震级别的。

据南京翰海源信息技术有限公司创始人方兴介绍，通俗来讲，通过这个漏洞，可以泄露以下四方面内容：一是私钥，所有https站点的加密内容全能破解；二是网站用户密码，用户资产如网银隐私数据被盗取；三是服务器配置和源码，服务器可以被攻破；四是服务器挂掉不能提供服务。

8日晚，余弦和他的团队守在电脑屏幕前彻夜未眠，安全保卫者们敲击键盘的噼啪声一夜未断。不仅余弦，360、京东、微信、支付宝等公司的技术团队也彻夜奋战，和黑客们开展起了一场“你盗我堵”的赛跑，在黑客窃取更多用户数据前赶紧予以修复。

安全人士指出，即使用户之前登录的网站发生了泄密，因为黑客掌握的账号密码数量庞大，短时间内无法消化使用，所以对于单个用户而言尽快更改密码设置是非常必要的。但是，对于一些邮箱类网站，即使更改密码可能也无济于事，因为如果黑客已经偷走了cookie缓存，用这个可以直接登录邮箱。建议用户对邮箱再登录一次，然后点击退出登录，减少风险。

北京知道创宇信息技术有限公司持续在线监测情况显示，大部分公司已有所行动，如360、百度等公司在升级OpenSSL，微信已暂停SSL服务，有的网站为规避风险，干脆暂停全部服务。

目前看来，该漏洞确已被很多黑客利用。网络安全领域资深人士透露，由于OpenSSL漏洞的出现，8日、9日的地下交易市场中，各种兜售非法数据的交易显得异常火爆，比如一份某省工程类人员的信息数据，该信息清晰显示出大量人员的姓名、身份证号码等。杨冀龙说，目前的监测显示，某宝的网站被黑客盗取了1T的内存，雅虎邮箱的大量账户密码也曝已经泄露。

4月8日，网络安全协议OpenSSL被曝发现严重安全漏洞，诸多公众熟知的电商、支付类接口、社交、门户网站瞬间处于“裸奔”状态，大量网民信息面临泄密风险。互联网“心脏出血”还将持续多久？危害究竟多大？普通用户在此时此刻应当做些什么？记者就此进行了调查。

知道创宇公司持续在线监测情况显示，虽然大部分公司已有所行动，但仍有部分涉及机构动作迟缓。截至9日晚，知道创宇公司通过监测ZoomEye实时扫描数据分析发现，国内12306铁路客户服务中心、微信公众号、支付宝、淘宝网、360应用、陌陌、雅虎、QQ邮箱、微信网页版、比特币中国、雅虎、知乎等网站的漏洞已经修复完毕。但还有一些网站没有完成修复。

原标题：“地震级”灾害突袭互联网（图）

据新华社电 4月8日，常用于电商、支付类接口等安全性极高网站的网络安全协议OpenSSL被曝存在堪称“心脏出血”的高危漏洞，危及全球包括银行、电商在内关键部门和普通用户财产和信息安全。这一漏洞一旦被恶意利用，意味着用户登录这些电商、网银的账户、密码等关键信息都将泄露。

直击互联网“心脏出血”48小时

数据已发生泄露

知道创宇公司工作人员表示，由于这些大的互联网厂商和运营商服务器比较多，他们一修补，我国受到影响的服务器三分之一已完成了修补，整体情况趋于可控。

记者采访了解到，在网站和安全厂商的协作下，三分之一受影响的网站已完成修复，使众多网友陷入恐慌的“心脏失血”正趋于可控。

据了解，截至9日晚，国内12305铁路客户服务中心、微信公众号、支付宝、淘宝网、360应用、陌陌、雅虎、QQ邮箱、微信网页版、比特币中国、雅虎、知乎等网站的漏洞已经修复完毕。

记者采访了解到，安全协议OpenSSL最新漏洞的影响仍在持续发酵。杨冀龙建议，在相关网站升级修复前，建议暂且不要登录网购、支付类接口账户，尤其是对那些没有明确采取补救措施的网站，更应该谨慎避免泄密风险。对于一些已经完成升级的网站，用户应当尽快登录网站更改自己的密码等重要信息。

这一“地震级”漏洞被曝出后，全球的黑客与安全保卫者们展开了竞赛。黑客在不停地试探各类服务器，试图从漏洞中抓取到尽量多的用户数据；安全保卫者则在尽可能短的时间里升级系统、弥补漏洞，实在来不及实施的则暂时关闭某些服务。

在余弦的电脑屏幕上，网络安全分析系统扫描显示，在中国境内的160余万台服务器中，有33303台受到这一漏洞影响。苏宁、盛大、网易、搜狗、唯品会、比特币中国、微信、豌豆荚……一个个网民常用的甚至依赖的网站纷纷“躺枪”。

余弦告诉记者，这3万多台服务器分布在支付类接口系统、大型电商网站、即时通讯系统和邮箱等这些最重要的网络服务器中。

威胁还长期潜伏

“心脏出血”抢修进行中

部分已修复威胁仍在发酵

余弦坦言，问题在于这个漏洞实际出现在2012年。两年多来，谁也不知道是否已经有黑客利用漏洞获取了用户资料；由于该漏洞即使被入侵也不会在服务器日志中留下痕迹，所以目前还没有办法确认哪些服务器被入侵过，也就没法定位损失、确认泄露信息。

据了解，SSL是一种加密技术，可以保护用户通过互联网传输的隐私信息。据悉，目前多数SSL加密的网站都是用名为OpenSSL的软件包，此次OpenSSL被曝的漏洞可以让攻击者获得服务器上64K内存中的数据，其中可能包括安全证书、用户名和密码等敏感信息。

○调查

新漏洞威胁网银、微信、淘宝等安全 三分之一服务器已完成修补

一些人对漏洞严重性还在盲目乐观时，业界知名“白帽子”、北京知道创宇信息技术有限公司研究部总监余弦指出，此漏洞一旦被恶意利用，用户登录这些电商、支付类接口的账户、密码等关键信息都将面临泄露风险。包括公众熟知并且经常访问的微信、淘宝、一些支付类接口、社交、门户等知名网站均受到影响，而且越是知名高的网站，越容易受到不法分子的攻击。