4月9日消息，據華爾街報道，許多網站使用的OpenSSL安全協議存在漏洞，可能導致大量隱藏數據被盜取。據谷歌和網絡安全公司Codenomicon的研究人員透露，OpenSSL加密代碼中一種名為Heartbleed的漏洞存在已有兩年之久。三分之二的活躍網站均在使用這種存在缺陷的加密協議。他們指出可使用的補丁，網站可用以自我保護以及維護用戶的安全。

[[111292]]

包括主頁和郵箱在內的數個雅虎網站也存在這種安全漏洞。雅虎發言人今日表示，“我們的團隊已經成功地完成雅虎各個網站的修復。”

一些零售商表示，在雅虎修復漏洞之前，他們能夠獲得雅虎的用戶名和密碼。

網絡安全公司Qualys的一名研究員伊萬•瑞斯提克(Ivan Ristic)創建了一種測試網站是否存在Heartbleed漏洞的工具。工具發布當天，他的網頁訪問量增加了7倍。他估計，使用SSL的服務器中，有30%存在漏洞。

經瑞斯提克的工具測試顯示，許多大型網站，如谷歌、亞馬遜、eBay等網站較安全，未受到這種漏洞的影響。

越來越多的網站使用加密代碼來保護如用戶名、密碼和信用卡號等數據，這能夠防止黑客通過網絡盜取個人信息。

這種加密協議被稱為SSL(Secure Sockets Layer安全套接層)或TLS(Transport Layer Security Protocol安全傳輸層協議)。當一個網站使用這種安全協議，瀏覽器中的地址欄旁會出現掛鎖圖標。

編寫加密代碼十分復雜，所以很多網站使用一種開源的免費安全協議，即OpenSSL。如亞馬遜，該公司在其網站上建議，云計算服務Amazon Web Services的用戶在為網頁加密時使用OpenSSL。但有關OpenSSL漏洞的消息爆出后，亞馬遜對記者的置評請求未立即回應。

OpenSSL存在的缺陷在于，使用某些最新OpenSSL版本的Web服務器會存儲一些不受內存保護的數據。黑客可以獲取這些數據，重建有關用戶或密鑰的信息，進而監視過去或將來的加密數據。

一名研究員表示，“任何人都可以利用這種漏洞在互聯網上獲取數據，而且場地不限，我可以在自己的辦公室，也可以在其他國家實現數據的盜用。”

OpenSSL漏洞的消息一出，許多網站措手不及，未能及時采取補救措施。

旨在保護互聯網用戶身份的Tor Project公司總裁羅杰·丁格勒戴(Roger Dingledine)表示， “接下來幾天各個網站開始著手修復漏洞，為了確保個人信息或隱私不被竊取，這段時間最好完全不用互聯網。”(惜辰)