网络安全协议OpenSSL被曝发现严重安全漏洞，诸多公众熟知的电商、支付类接口、社交、门户网站瞬间处于“裸奔”状态，大量网民信息面临泄密风险。面对此次被称为“心脏出血”的高危漏洞，360公司技术副总裁谭晓生建议，如果相关网站已完成了修补，用户需要将使用过的用户名、密码等个人信息进行修改。

互联网“心脏出血”电商网银受威胁

4月8日，业界知名“白帽子”、北京知道创宇信息技术有限公司研究部总监余弦指出，此漏洞一旦被恶意利用，用户登录这些电商、支付类接口的账户、密码等关键信息都将面临泄露风险。包括公众熟知并且经常访问的微信、淘宝、一些支付类接口、社交、门户等知名网站均受到影响。

在这种情况下，QQ邮箱、雅虎、支付宝、知乎、淘宝网、360应用、京东、YY语言、苏宁、盛大、网易、搜狗、唯品会、比特币中国、微信、豌豆荚、陌陌……从消费到通讯、社交，国内知名网站无一幸免。而很多用户毫不知情，仍然在访问着老虎嘴中的站点。

受影响服务器三分之一完成修补

4月9日下午，来自北京知道创宇ZoomEye网络空间搜索引擎的监控显示，国内有22611台主机受影响，而4月8日这个数字是33303，可以看到情况正在好转，超过30%的主机已经修复。截至当晚，国内12306铁路客户服务中心、微信公众号、支付宝、淘宝网、360应用、陌陌、雅虎、QQ邮箱、微信网页版、比特币中国、雅虎、知乎等网站的漏洞已经修补完毕。

北京知道创宇公司工作人员表示，由于这些大的互联网厂商和运营商服务器比较多，他们一修补，我国受到影响的服务器三分之一已完成了修补，整体情况趋于可控。

截至4月10日中午，仍未修补漏洞的网站主机仍超过5000个。

网站修补漏洞后用户需修改密码

据360手机安全中心最新统计发现，有50%的手机APP正在使用HTTPS安全传输协议。据Google证实，在安卓4.1.1手机上存在相应漏洞问题。安全专家表示，即使安卓系统无漏洞，这些使用了HTTPS协议的APP的服务器端信息仍有可能被黑客窃取。

360公司技术副总裁谭晓生建议，在4月7日和8日两天登录过存在漏洞的网站的网友，首先需要确认曾经登录的网站是否已经进行了升级修补，可看该网站是否发布相关的公告，也可通过360网站卫士推出的OpenSSL漏洞在线检查工具，输入网址检测网站是否存在该漏洞。如果相关网站已完成了修补，则用户需要将使用过的用户名、密码等个人信息进行修改。

金山毒霸安全专家李铁军表示，对重要服务，要尽可能开通手机验证或动态密码，比如支付宝、邮箱等。此外，一个密码的使用时间不宜过长，超过3个月就该换掉了。

北京知道创宇首席执行官杨冀龙建议，在相关网站升级修补前，建议暂且不要登录网购、支付类接口账户，尤其是对那些没有明确采取补救措施的网站，更应该谨慎避免泄密风险。

安全人士指出，即使用户之前登录的网站发生了泄密，因为黑客掌握的账号密码数量庞大，短时间内无法消化使用，所以对于单个用户而言尽快更改密码设置是非常必要的。但是，对于一些邮箱类网站，则需再登录邮箱一次，然后点击退出登录，因为黑客利用cookie缓存可直接登录。

尽量在不同手机APP下使用不同密码，防止黑客攻击某个服务器之后，使用同一密码进入用户的其他客户端，特别是支付类应用的密码一定要单独设置；同时安装手机安全软件，检测手机及网络安全环境，防止被网络钓鱼。

后果

可泄露四方面内容

南京翰海源信息技术有限公司创始人方兴介绍，通俗来讲，通过这个漏洞，可以泄露以下四方面内容：一是私钥，所有https站点的加密内容全能破解；二是网站用户密码，用户资产如网银隐私数据被盗取；三是服务器配置和源码，服务器可以被攻破；四是服务器挂掉不能提供服务。

回应

银联支付不受影响

中国银联相关负责人4月9日回应称，该漏洞对银行网上支付、银行U盾使用及银联的影响几乎为零。银联核心跨行交易系统运营基于专用网络，与漏洞事件无关，持卡人可以放心使用。

知识

什么是SSL？

SSL是一种流行的加密技术，可以保护用户通过互联网传输的隐私信息。网站采用此加密技术后，第三方无法读取用户与该网站之间的任何通讯信息。在后台，通过SSL加密的数据只有接收者才能解密。

SSL最早在1994年由网景推出，1990年代以来已经被所有主流浏览器采纳。

什么是“心脏出血”漏洞？

SSL标准包含一个心跳选项，允许SSL连接一端的电脑发出一条简短的信息，确认另一端的电脑仍然在线，并获取反馈。研究人员发现，可以通过巧妙的手段发出恶意心跳信息，欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗，并发送服务器内存中的信息。