微信公众号、支付宝、淘宝网等网站漏洞已经修复完毕，但还有一些网站修复动作迟缓，在相关网站升级修复之前，不要登录网购、支付类接口账户，对于一些已经完成升级的网站，用户应当尽快登录并及时更改自己的密码等重要信息。

 

       4月8日，网络安全协议OpenSSL被曝发现严重安全漏洞，诸多公众熟知的电商、支付类接口、社交、门户网站瞬间处于“裸奔”状态，大量网民信息面临泄密风险。互联网“心脏出血”还将持续多久？危害究竟多大？普通用户在此时此刻应当做些什么？

 

       漏洞属“地震”级别

 

       4月8日，常用于电商、支付类接口等安全性极高网站的网络安全协议OpenSSL被曝存在高危漏洞，众多使用https的网站均可能受到影响。

 

       北京知道创宇信息技术有限公司研究部总监余弦指出，此漏洞一旦被恶意利用，用户登录这些电商、支付类接口的账户、密码等关键信息都将面临泄露风险。

 

       “打个形象的比喻，就像家里的门很坚固也锁好了，但是发现窗户虚掩着。”中国计算机学会计算机安全专业委员会主任严明说，这个漏洞是“地震”级别的。

 

       知道创宇公司持续在线监测情况显示，虽然大部分公司已有所行动，但仍有部分被涉及的机构动作迟缓。截至9日晚，知道创宇公司通过监测ZoomEye实时扫描数据分析发现，国内12306铁路客户服务中心、微信公众号、支付宝、淘宝网、360应用、陌陌、雅虎、QQ邮箱、微信网页版、比特币中国、雅虎、知乎等网站的漏洞已经修复完毕。但还有一些网站没有完成修复。

 

       余弦告诉记者，该漏洞并不一定导致用户数据泄露，因为该漏洞只能从内存中读取64K的数据，而重要信息正好落在这个可读取的64K中的几率并不大。但是，攻击者可以不断批量地去获取这最新的64K记录，这样就在很大程度上可以得到尽可能多的用户隐私信息。

 

       威胁还将长期潜伏

 

       余弦坦言，问题在于这个漏洞实际出现在2012年。两年多来，谁也不知道是否已经有黑客利用漏洞获取了用户资料；由于该漏洞即使被入侵也不会在服务器日志中留下痕迹，所以目前还没有办法确认哪些服务器被入侵过，也就没法定位损失、确认泄露信息。

 

       目前看来，该漏洞确已被很多黑客利用。网络安全领域资深人士透露，由于OpenSSL漏洞的出现，8日、9日的地下交易市场中，各种兜售非法数据的交易显得异常火爆。

 

       记者采访了解到，安全协议OpenSSL最新漏洞的影响仍在持续发酵，截至目前仍有许多网站尚未完成漏洞修复。

 

       杨冀龙建议，在相关网站升级修复前，建议暂且不要登录网购、支付类接口账户，尤其是对那些没有明确采取补救措施的网站，更应该谨慎避免泄密风险。对于一些已经完成升级的网站，用户应当尽快登录网站更改自己的密码等重要信息。

 

       安全人士指出，即使用户之前登录的网站发生了泄密，因为黑客掌握的账号密码数量庞大，短时间内无法消化使用，所以对于单个用户而言尽快更改密码设置是非常必要的。但是，对于一些邮箱类网站，则需再登录邮箱一次，然后点击退出登录，因为黑客利用cookie缓存可直接登录。