三成网站“心脏出血”没堵上
重庆晚报讯 互联网网站安全协议OpenSSL本周爆出“心脏出血”漏洞,黑客坐在自家电脑前,就可以从很多https开头网址的服务器上实时抓取用户的账号密码,涉及网银、购物网站、社交网站等信息(本报昨日24版已报道)。360昨日发布数据称,截至4月10日中午,各大网站对该致命漏洞的修复比例仅为71.9%,仍有28.1%的网站尚未修复漏洞。
360网站安全检测平台对国内120万家经过授权的网站扫描,4月8日共有18000多个网站主机存在漏洞。4月9日下午,有漏洞的网站主机数量下降到11000余个。截至4月10日中午,仍未修复漏洞的网站主机仍超过5000个。
此漏洞被广泛认为是本年度危害最严重的安全漏洞。“可以说,OpenSSL漏洞的危害远远超乎人们的想象,其后遗症也将持续很长一段时间。”360网站卫士工程师董方认为。
对于普通网民来说,在OpenSSL漏洞得到各大网站彻底修复前,应尽量避免在有漏洞的网站上登入账号是最好的自保措施。在相关网站升级修复前,建议暂且不要登录网购、支付类接口账户,尤其是对那些没有明确采取补救措施的网站,更应该谨慎避免泄密风险。对于一些已经完成升级的网站,用户应当尽快登录网站更改自己的密码等重要信息。安全人士指出,即使用户之前登录的网站发生了泄密,因为黑客掌握的账号密码数量庞大,短时间内无法消化使用,所以对于单个用户而言尽快更改密码设置非常必要。但对于一些邮箱类网站,则需再登录邮箱一次,然后点击退出登录,因为黑客利用cookie缓存可直接登录。
