“心脏出血”国内各大网站中招 支付宝等已修复

相关负责人也表示，技术部门一得到漏洞消息就连夜进行了版本升级，修复了漏洞。目前支付宝、淘宝、天猫都可以正常使用。

　　截止记者发稿时，包括支付宝、淘宝、微信、QQ平台、网易、12306铁路客户服务中心等在内大型网站已修复漏洞。

　　应对未知风险

　　安全专家给出两条建议

　　互联网门户洞开的“惊魂一夜”过去了，从开始到基本结束，绝大多数网友都一无所知。

　　我们安全了吗?

　　从zoomeye系统的扫描结果看，比33303台服务器受漏洞影响更让人担心的是：这些服务器有的在银行网银系统中;有的部署在第三方支付里;有的在大型电商网站;有的在网络邮箱、即时通讯系统中……

　　“特别是现在互联网金融和第三方支付的发展非常迅速，这意味着以前用银行卡、POS机进行的交易都将逐渐转移到互联网上，这对网络安全提出了越来越高的要求。”李铁军坦承比用户端更不可控的是服务端，如果黑客入侵了服务器，受损的远不止公司一个个体，还包括存放于公司数据库的大量用户敏感资料。

　　“这个漏洞据说早在2012年就被挖掘出来，直到昨天CVE纳入编号CVE-2014-0160，8号才正式爆发。”Evi1m0也在知乎上透露，“使用HTTPS的网站大多是因为数据需加密防止嗅探等攻击的发生，漏洞爆发后彻底将这层大门打破，于是很多网站处于被监听的状态中。”

　　两年多时间，谁也不知道是否已经有黑客利用漏洞获取了用户资料;而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹，所以目前还没有办法确认哪些服务器被入侵，也就没法定位损失、确认泄漏信息，从而通知用户进行补救。

　　“最近两天不要登录未修复的服务器，以免自投罗网，即使想要修改用户名或密码也等几天再改。”几位安全专家给出的建议都很一致。因为最近几天网友登录一些关键服务网站，若网站未完成漏洞修复，登录信息就可能被黑客远程捕获。

　　尽管zoomeye的扫描结果及涉及名单已经被提交给国家互联网应急中心，按照流程应由后者进行全国预警，但截止记者发稿时，在国家互联网应急中心官网上尚无相关信息发布。

　　事实上，除了移动、联通等这些大型企业外，国家互联网应急中心也没有强制力确保其他公司看到预警内容，旧版本OpenSSL的安全漏洞修复时间是个不确定值。

　　对于普通用户怎么办呢?除了在确认有关网站安全之前，不要使用网银、电子支付和电商购物等功能，以避免用户密码被漏洞后的黑客捕获外。

　　安全专家们给出了两条建议：一是对重要服务，尽可能开通手机验证或动态密码，比如支付宝、邮箱等。登录重要服务，不仅仅需要验证用户名密码，最好绑定手机，加手机验证码登录。这样就算黑客拿到账户密码，登录还有另一道门槛。二是如果随着事件进展，可能受累及的网络服务在增加或更明确，建议用户修改重要服务的登录密码。而且一个密码的使用时间不宜过长，超过3个月就该换掉了。