OPENSSL漏洞爆发，威胁用户密钥信息

　　4月8日晚，一个名为“heartbleed”(心脏出血)协议级漏洞爆发，互联网世界进入一个探寻与反探寻，黑客和白帽信息安全专家们斗快、斗智的一晚。

　　什么是OPENSSL?

　　OPENSSL是为网络通信提供安全及数据完整性的一种安全协议，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，并提供了丰富的应用程序供测试或其它目的使用。

　　一般而言，网站通过http(超文本传输协议)实现浏览器和互联网之间的信息互通，但对于一些涉及个人账户数据的网站，则会采用https，这其中的S即是指SSL。增加用户的加密/身份验证层，是目前互联网上使用较为广泛的敏感信息加密方法，广泛应用于各类电子商务购物平台、社交网络、第三方在线支付、网络银行、电子邮件等。

　　OPENSSL漏洞爆发的危害

　　作为互联网上被广泛使用的用户信息安全锁，OPENSSL漏洞的爆发可以让特定版本的OpenSSL(OpenSSL 1.01系列版本)成为无需钥匙即可开启的废锁，利用漏洞，攻击者可以获得服务器上64K内存中的数据内容。这部分数据中，可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。虽然64K数据量并不大，但如果黑客有耐心地多次通过漏洞搜寻、拼凑信息，包括明文密码在内的许多密钥数据都可以被获取。有相关网络安全行业人士在知乎上透露，通过这个漏洞在某著名电商网站上尝试读取数据，在读取200次后，获得了40多个用户名、7个密码，用这些密码，他成功地登录了该网站。在业内人士对国内的服务器进行体检之后，雅虎门户主页、微信公众号、微信网页版、YY语音、淘宝、网银、陌陌、社交、门户网站等都被证明存在此漏洞。

　　网民如何保护个人信息安全

　　截止发稿，国内大型互联网公司，如BAT、各大门户网站等都已经对OpenSSL进行了升级修复，银行业也发表声明两日内即可修复该漏洞。但鉴于该漏洞始于2012年，且无法追溯服务器上的密钥内容是否已被黑客查询，因而建议广大网友在近期进行网络交易时注意如下几点：

　　1、在确认有关网站安全之前，不要使用网银、电子支付和电商购物等功能；

　　2、已确认安全的网站，及时进行相关密码的修改，同时更换网站的安全证书；

　　3、不管此次漏洞的危害持续性有多久，互联网作为依靠代码连接起来的世界，只要网络世界还在持续发展，网络信息安全就是一个需要长期关注的话题。作为网民自身，也应建立起保护个人信息安全的意识，定期更换密钥、安全信息和安全证书。