据新京报消息，9 日，安全协议OpenSSL 爆出本年度最严重的安全漏洞“心脏出血”。利用该漏洞，黑客坐在自己家里电脑前，就可以实时获取到很多https 开头网址的用户登录账号密码，包括网银、知名购物网站、电子邮件等信息。

     2亿网民面临泄密风险

     4 月7 日凌晨，国内就出现了针对OpenSSL“心脏出血”漏洞的黑客攻击迹象。据360 网站安全检测平台对国内120 万家经过授权的网站扫描，其中有11440 个网站主机受该漏洞影响。4 月7 日、4 月8 日期间，共计约2 亿网民访问了存在OpenSSL漏洞的网站。

     360 安全专家石晓虹博士表示，此OpenSSL 漏洞堪称“网络核弹”，网银、网购、网上支付、邮箱等都会受到影响。因为有很多隐私信息都存储在网站服务器的内存中，无论用户电脑多么安全，只要网站使用了存在漏洞的 OpenSSL 版本，用户登录该网站时就可能被黑客实时监控到登录账号和密码。

     目前还没有具体的统计数据显示这次漏洞造成多大的经济损失，但发现该漏洞的研究人员指出，当今最热门的两大网络服务器 Apache 和nginx 都使用OpenSSL。总体来看，这两种服务器约占全球网站总数的三分之二。

     国内网站紧急修复

     据悉，发现该漏洞的研究人员几天前就已经通知OpenSSL 团队和重要的利益相关者。这让 OpenSSL 得以在漏洞公布当天就发布了修复版本。为了解决该问题，各大网站需要尽快安装最新版 OpenSSL。

     9 日下午，国内大量网站已开始紧急修复此OpenSSL高危漏洞，但是修复此漏洞普遍需要半个小时到一个小时时间，大型网站修复时间会更长一些。

     Facebook、雅虎和谷歌发言人均对外表示，已经评估了SSL 漏洞，并且给关键服务打上了补丁。微软发言人也表示，“我们正在关注OpenSSL 问题的报道。如果确实对我们的设备和服务有影响，我们会采取必要措施保护用户。”

     近日，中国金融认证中心（CFCA）官方网站挂出文章，针对 OpenSSL 漏洞对网银的影响进行了说明，其表示，网银系统均使用商业级的SSL 加密设备，很少有采用类似OpenSSL这样的开源软件，因此受到的影响较少。而对于普通用户，U盾可以完全放心使用。对于不能确认的网站，可通过一些免费的在线工具验证一下访问的网站是否存在这个漏洞。如果存在此漏洞的话，先暂停访问，等待漏洞得到修复。

     名词解释 OpenSSL

     SSL 是一种流行的加密技术，可以保护用户通过互联网传输的隐私信息。目前该技术在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。

     当用户访问一些安全网站时，会在URL 地址旁看到一个“锁”，表明你在该网站上的通讯信息都被加密。这个“锁”表明，第三方无法读取你与该网站之间的任何通讯信息。在后台，通过SSL 加密的数据只有接收者才能解密。

     多数SSL 加密的网站都使用名为OpenSSL 的开源软件包。本次爆出的安全漏洞正存在于这款软件中，该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL 服务器内存中长达64K 的数据。 OpenSSL 大约两年前就已经存在这一缺陷。