□影響

互聯網安全大地震

“這是近兩年來最嚴重的一次網絡安全危機。”360公司技術副總裁譚曉生評價，在以https開頭的網站中，初步評估有不少于30%的網站中招，其中包括大家最常用的購物、網銀、社交、門戶等知名網站，而在手機APP的網銀客戶端中，則有至少50%存在風險。

據南京翰海源信息技術有限公司創始人方興介紹，通俗來講，通過這個漏洞，可以泄露以下四方面內容：一是私鑰，所有https站點的加密內容全能破解；二是網站用戶密碼，用戶資產如網銀隱私數據被盜取；三是服務器配置和源碼，服務器可以被攻破；四是服務器掛掉不能提供服務。

一位安全行業人士透露，他在某著名電商網站上用這個漏洞嘗試讀取數據，在讀取200次后，獲得了40多個用戶名、7個密碼，用這些密碼，他成功地登錄了該網站。

昨天下午，來自知道創宇ZoomEye網絡空間搜索引擎的監控顯示，國內有22611臺主機受影響，而前天這個數字是33303，可以看到情況正在好轉，超過30%的主機已經修復。

“漏洞被挖掘出來以后，帶來的危害并不會非常快地顯現。”瑞星安全專家唐威告訴記者，現階段企業層面能做的也是對使用的OpenSSL進行排查和升級。

不過，昨天也有業內人士稱，這個漏洞其實并沒那么可怕，因為這是一個舊版本OpenSSL的安全漏洞，開發者把服務器程序升級到OpenSSL1.0.1g就可以解決。

□回應

銀行銀聯支付不受影響

對于OpenSSL的漏洞，有傳言稱即便是銀行網上支付、U盾、銀聯支付也都并不安全。不過，業內人士昨天向記者坦言，該漏洞對銀行網上支付、銀行U盾使用及銀聯的影響幾乎為零。

中國金融認證中心應用開發部總經理林峰表示，OpenSSL的這個漏洞是由于代碼實現不嚴謹造成的。這個漏洞存在于OpenSSL1.0.1系列版本中，之前的OpenSSL版本不受影響。天貓、淘寶使用的正是這個系列的版本，所以可以竊取到內存中的數據。

“如果銀行使用了帶有該漏洞的OpenSSL開源軟件版本，會有一定的影響。但是這個漏洞只是竊取內存中的數據，銀行的用戶密碼還有一重加密保護，一般不會在SSL服務器解密，所以也就很難拿到銀行用戶的密碼。”

林峰還表示，其實這個OpenSSL的漏洞和U盾的安全性沒有什么聯系，因為用戶的交易敏感信息是通過USB接口送入U盾后，在U盾內部進行加密和數字簽名運算，SSL協議是對U盾加密簽名后的數據再進行一次傳輸層的加密。這次OpenSSL的漏洞對U盾沒有影響。

此外，中國銀聯相關負責人昨天也回應稱，銀聯核心跨行交易系統運營基于專用網絡，與漏洞事件無關。該負責人稱，“銀聯在線支付”等基于互聯網的創新業務系統并未使用OpenSSL技術，對于個別外圍供應商可能存在的OpenSSL漏洞，銀聯已通過主動排查，在烏云網等技術人士公開漏洞事件前就已協調供應商消除了隱患，持卡人可以放心使用。