核心提示|360互联网安全中心11日发布预警称，互联网“心脏出血”漏洞影响巨大，未来一段时间，或出现大规模盗号诈骗情况。

　　网络灾难

　　国内3万多台服务器受漏洞影响

　　互联网基础组件OpenSSL4月8日爆出“心脏出血”漏洞，此漏洞被认为是近年来危害最严重的安全漏洞，可以让黑客轻松在https开头网址服务器上，实时抓取用户的账号密码。一时间，诸多公众熟知的电商、支付类接口、社交、门户网站瞬间处于“裸奔”状态，大量网民信息面临泄密风险。

　　“打个形象的比喻，就像家里的门很坚固也锁好了，但是发现窗户虚掩着。”中国计算机学会计算机安全专业委员会主任严明说，这个漏洞是地震级别的。

　　4月7日凌晨，国内就出现了针对OpenSSL“心脏出血”漏洞的黑客攻击迹象。4月8日下午开始，各大网站和服务商

　　才开始陆续修复该漏洞。

　　网络安全分析系统扫描显示，在中国境内的160余万台服务器中，有33303台受到这一漏洞影响。苏宁、盛大、网易、搜狗、唯品会、比特币中国、微信、豌豆荚……一个个网民常用的甚至依赖的网站纷纷“躺枪”。

　　目前看来，该漏洞确已被很多黑客利用。网络安全领域资深人士透露，由于OpenSSL漏洞的出现，8日、9日的地下交易市场中，各种兜售非法数据的交易显得异常火爆，比如一份某省工程类人员的信息数据，该信息清晰显示出大量人员的姓名、身份证号码等。

　　银行银联支付不受影响

　　中国金融认证中心应用开发部总经理林峰表示，这个漏洞存在于OpenSSL1.0.1系列版本中，之前的OpenSSL版本不受影响。天猫、淘宝使用的正是这个系列的版本，所以可以窃取到内存中的数据。银行的用户密码还有一重加密保护，一般不会在SSL服务器解密，所以也就很难拿到银行用户的密码。

　　中国银联相关负责人回应称，“银联在线支付”等基于互联网的创新业务系统并未使用OpenSSL技术，持卡人可以放心使用。

　　微软、百度、当当：未受影响

　　10日，微软中国方面回应称，没有任何微软产品受到此漏洞的影响。

　　百度方面也表示，百度钱包不受影响。电商当当网表示，当当网固有的账户体系非常安全，消费者可放心购物。

　　盛大方面表示，盛大通行证的认证主要是通过硬件加密等方式来使用https协议，目前已经和供应商确认过，一方面所使用的OpenSSL版本不会受影响，另一方面针对有可能出现的安全隐患，已在第一时间通过升级进行了处理。

　　阿里、京东、腾讯：已修复

　　9日，此次漏洞事件引发最多泄密担忧的阿里系急忙表示漏洞已经修复。阿里安全回应称，关于OpenSSL某些版本存在基于基础协议的通用漏洞，阿里各网站已经在第一时间进行了修复处理，目前已经处理完毕，包括淘宝、天猫、支付宝等各大网站都确认可以放心使用。其中淘宝方面还透露，从目前监控的情况来看，未发现账户异常。

　　京东则表示，已于9日完成了修补处理，避免了这次漏洞的侵袭。

　　腾讯称，腾讯已在第一时间进行处理，目前相关的产品业务如邮箱、财付通、QQ、微信等都已经修复完毕。网易方面告诉记者，国内安全漏洞监测平台乌云报告提到的网易邮箱OpenSSL漏洞已修复。

　　三句提醒

　　■别在有漏洞的网站上登入账号■修改账号密码还来得及■电子邮箱退出后再登录一次

　　360安全专家表示，从该漏洞被公开到用户修复漏洞的这段时间内，已经有黑客利用“心脏出血”漏洞进行攻击，有些网站用户信息或许已被黑客获取。接下来，黑客可能会利用获取到的这些用户信息，进行各类攻击。在未来一段时间里，针对用户的“次生危害”（盗取账号、诈骗等安全风险）或许会集中显现。

　　据360最新监测数据显示，71.9%的网站已经修复该致命漏洞，但仍有28.1%的网站尚未修复漏洞。其中，在未修复漏洞的网站类型中，企业官网、论坛社区、电商团购等三类网站最多。

　　安全专家建议广大网友，在OpenSSL漏洞得到各大网站彻底修复前，尽量避免在有漏洞的网站上登入账号是最好的自保措施。在漏洞修复后，最好尽快修改账号密码。

　　安全人士指出，即使用户之前登录的网站发生了泄密，因为黑客掌握的账号密码数量庞大，短时间内无法消化使用，所以对于单个用户而言尽快更改密码设置是非常必要的。但是，对于一些邮箱类网站，则需再登录邮箱一次，然后点击退出登录，因为黑客利用cookie缓存可直接登录。

　　相关新闻

　　免费WIFI多数“裸奔”小心网银被刷、话费被盗

　　重庆市渝中区的小郜是个“蹭网族”，今年清明节期间到外地旅游时在酒店里发现了好几个不需密码的免费WIFI，当时没多想就选了一个，没想到连接之后手机就中了恶意扣费病毒，400多元话费10分钟内不翼而飞。

　　类似遭遇在全国各地轮番上演，不少人损失惨重。近日，江苏南京市民张明使用公共场所的WIFI后，电脑被黑客入侵，网银上的6万多元在两天内只剩下500元。蹊跷的是，他的U盾、银行卡都在，账户还绑定了手机短信，密码也没丢，卡内的钱就被人分69次盗刷了。经调查，张明的钱是通过三个第三方支付平台“溜走”，他的手机还被黑客做了手脚，收短信的功能被屏蔽，所以发生的69次交易他根本没收到任何短信提示。

　　信息安全专家、国际关系学院信息科技系副主任王标说，调查显示，目前大多数公共场所的免费WIFI普遍缺少安全防护措施，黑客能轻松通过WIFI给手机、电脑推送弹窗广告、木马病毒，还可能盗取QQ、微信账号密码、个人隐私信息等。

　　此外，黑客可在用户浏览网站时植入一段HTML代码，使其自动跳转到钓鱼网站。如果此时登录网银、支付宝等进行交易，用户的账号密码极有可能被窃取，进而导致账户盗刷。

　　不仅如此，用户使用免费WIFI时，还有可能掉入黑客自行搭建的“山寨WIFI”陷阱。“黑客自行搭建一个免费WIFI热点，技术上比较简单。”信息安全专家、南京瀚海源信息科技有限公司CEO方兴表示，从理论上看，只需要一台电脑、一套无线路由器及从网上下载一个网络分析软件就可以截取用户数据。

　　方兴说，黑客往往会搭建一个与公共WIFI名称很相近的WIFI热点，且不设登录密码，诱使用户连接，用户在使用这种“山寨WIFI”时，传输的数据就会被黑客监控，如果登录账户，黑客可以从数据包里查到用户个人隐私、账号密码等重要信息。

　　提醒

　　各方回应

　　莫用免费WIFI操作网银、支付宝

　　1.连接非加密的或陌生的WIFI，最好下载安装手机安全软件。2.用户尽量不要用免费WIFI进行网银、支付宝等涉及财务的操作，必须进行此类操作时，专门的应用软件客户端的安全性要高于第三方浏览器。L