4月9日消息,据华尔街报道,许多网站使用的OpenSSL安全协议存在漏洞,可能导致大量隐藏数据被盗取。据谷歌和网络安全公司Codenomicon的研究人员透露,OpenSSL加密代码中一种名为Heartbleed的漏洞存在已有两年之久。三分之二的活跃网站均在使用这种存在缺陷的加密协议。他们指出可使用的补丁,网站可用以自我保护以及维护用户的安全。
包括主页和邮箱在内的数个雅虎网站也存在这种安全漏洞。雅虎发言人今日表示,“我们的团队已经成功地完成雅虎各个网站的修复。”
一些零售商表示,在雅虎修复漏洞之前,他们能够获得雅虎的用户名和密码。
网络安全公司Qualys的一名研究员伊万?瑞斯提克(Ivan Ristic)创建了一种测试网站是否存在Heartbleed漏洞的工具。工具发布当天,他的网页访问量增加了7倍。他估计,使用SSL的服务器中,有30%存在漏洞。
经瑞斯提克的工具测试显示,许多大型网站,如谷歌、亚马逊、eBay等网站较安全,未受到这种漏洞的影响。
越来越多的网站使用加密代码来保护如用户名、密码和信用卡号等数据,这能够防止黑客通过网络盗取个人信息。
这种加密协议被称为SSL(Secure Sockets Layer安全套接层)或TLS(Transport Layer Security Protocol安全传输层协议)。当一个网站使用这种安全协议,浏览器中的地址栏旁会出现挂锁图标。
编写加密代码十分复杂,所以很多网站使用一种开源的免费安全协议,即OpenSSL.如亚马逊,该公司在其网站上建议,云计算服务Amazon Web Services的用户在为网页加密时使用OpenSSL.但有关OpenSSL漏洞的消息爆出后,亚马逊对记者的置评请求未立即回应。
OpenSSL存在的缺陷在于,使用某些最新OpenSSL版本的Web服务器会存储一些不受内存保护的数据。黑客可以获取这些数据,重建有关用户或密钥的信息,进而监视过去或将来的加密数据。
一名研究员表示,“任何人都可以利用这种漏洞在互联网上获取数据,而且场地不限,我可以在自己的办公室,也可以在其他国家实现数据的盗用。”
OpenSSL漏洞的消息一出,许多网站措手不及,未能及时采取补救措施。
旨在保护互联网用户身份的Tor Project公司总裁罗杰·丁格勒戴(Roger Dingledine)表示, “接下来几天各个网站开始着手修复漏洞,为了确保个人信息或隐私不被窃取,这段时间最好完全不用互联网。”(
- 蜜度索骥:以跨模态检索技术助力“企宣”向上生长
- 苹果"断舍离"硬件订阅:告别手机换代焦虑
- 谷歌新规引担忧:外包人员被迫评估自己不擅长的回复,工作权益何在?
- 两大科技企业网络防线再受挑战,国家应急中心揭秘网络攻击真相
- Netflix荷兰违规数据使用被罚475万:忽视客户知情权
- 联电打破台积电垄断,成功赢得高通先进封装订单,竞争新篇章开启
- 英伟达黄仁勋揭示GB200生产动态:稳步推进,积极创新,引领行业新风向
- 保时捷纯电新车推迟数年:供应商进度问题揭秘,新车市场前景堪忧
- 美光科技业绩预警:PC和手机市场疲软,股价大跌背后揭示行业新变局
- 软银集团大手笔回购股票,OpenAI员工或迎巨额分红套现时刻
- 图森未来改名并进军新领域:以《金庸群侠传》IP开发游戏,探索未来新可能
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。