“心脏出血”漏洞现后遗症

来源:2019.06.20

“手机号怎么不是我的?”“账号里的钱去哪儿啦?”近日,团购网站百度糯米网的不少用户发现自己账号以及其中代金券被盗。昨日,百度方面对记者回应称,这是此前互联网爆发的openSSL“心脏出血”漏洞的后遗症,一经核实,百度将对受损用户全额赔付。

 

“黑客” 半夜盗取代金券

“您正在修改在百度糯米上绑定的手机号,如非本人操作,请立即致电4006888887【百度糯米】。”在朝阳门附近上班的市民童小姐,昨日一早起来,发现自己手机上多了这么一条短信,有些纳闷。再一看这条信息的发送时间,她心里更是一惊,“凌晨的0点46分”。

为何自己常去购物的这家团购网站会在深更半夜给自己发来这么一条短信?童小姐立马登录自己的糯米网账户,这才发现账户里的88元代金券已经被消费一空。

查看购物清单后,她发现就在前一天晚上,这份88元钱的权金城烤肉店消费券已经被提现到了一个手机号为“136”打头的陌生人手机号上。“我询问了周边亲戚朋友,没人用的是这个号码,再上网一查,还是河南的号码。”

咨询相关技术人员后,她了解到有可能是河南的“网络黑客”利用前段时间出现的“心脏出血”漏洞,破解了她账号的密码,解除与账号绑定的她的手机号,而重新绑定了黑客自己的手机号,这样就可以盗取代金券了。

童小姐从上大学起开始使用糯米网,算得上是这个网站的“铁粉”了,平时看电影、吃饭没少从糯米网上团购。尽管损失的钱算不上大数目,可这一次代金券被盗还是让她有些心有余悸。“修改账号的绑定手机号时为啥不给原先的机主发个验证码?那样不就能再多添一道防护网吗?”

童小姐告诉记者,如今她的账号已被百度糯米暂时冻结,目前她正在等待百度方面的处理结果。

 

百度 核实后将全额赔付

记者调查发现,童小姐的经历并非个案。在新浪微博上,不少网友都贴出了自己糯米网账户被盗的截图,而发布微博的时间也从一个多星期以前至昨日不等,而大伙收到提示信息的时间多数发生在深夜。

一位名为“风de使者”的常州网友有些无奈地表示,一夜之间,他账户里的500元钱就只剩下8元,而购买的订单还分散在成都、常州各地。不仅如此,他糯米网的账户密码也被更改,使得他无法登录自己的账号了。

“前段时间,中国互联网经历了一次大规模的账号泄露事件,受此波及,近日百度糯米也出现部分用户账号被盗。”昨日,百度相关负责人说,他们的确接到了部分用户反映自己账号被盗的情况。百度相关负责人表示,如用户发现经济损失,可立即和百度糯米客服联系,“我们核实后将全额赔付用户因盗号带来的损失”。

这位负责人表示,这是前一阵子爆发的互联网“心脏出血”漏洞的后遗症。4月7日凌晨,国内出现针对“心脏出血”漏洞的黑客攻击迹象。360网站安全检测平台对国内120万家经过授权的网站扫描发现,其中有3万多个网站主机受漏洞影响。

随后,包括百度在内的国内多家大型网站纷纷宣布已经修复此漏洞。不过360统计数据显示,4月7日、4月8日期间,共计约2亿网友访问了存在漏洞的网站。

 

专家 安全漏洞有一定延宕期

“这个安全漏洞并不是说修复好,就一定安全了。”360安全专家石晓虹对记者说,如果黑客在4月7日和4月8日两天利用这一漏洞攻击网站,事实上就已经获取到了用户账户名、密码等关键信息,不过因为这类信息并不是以完整形式出现,黑客随后还需要对信息进行重组。此次百度糯米在漏洞被修复的20多天后才爆出“被盗门”,就是因为这一安全漏洞存在一定的延宕期。

“为什么在修改绑定号码时,我没收到任何的验证码短信?”在此次的账号被盗事件中,不少用户还反映糯米网修改账户绑定手机号的程序过于简单、缺乏防护机制。对此,百度方面表示,已经对百度糯米账号实行了更高级别的安全保护,保证用户账号使用安全。

昨天下午,记者登录糯米网,在进行“修改绑定手机号”这一步操作时发现,系统已经增添了向原有手机号发送验证码这一步骤,用户只有填写验证码后才能输入新的手机号码。 东方IC供图

 

背景资料

什么是“心脏出血”?

openSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用,是“互联网上销量最大的门锁”。

openSSL在4月初爆出的这一漏洞被安全人士取名为“心脏出血”,以显示这一漏洞的危害程度,也被业内称为“年度最严重安全漏洞”,不少于30%的网站中招,影响至少两亿中国网民。

此次爆出的这一“心脏出血”漏洞,让特定版本的openSSL成为无需钥匙即可开启的“废锁”,入侵者每次可以翻检户主的64K信息,只要有足够的耐心和时间,就可以翻检足够多的数据,拼凑出户主的银行密码、私信等敏感数据。对此安全专家提醒,网友在网站完成修复升级后,仍需及时修改原来的密码。

来源:北京日报

热门文章

  • 七一将临,过去几周网络黑客攻击暴增30%

    在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。

  • FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

    美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。

  • Meta 在新报告中提及黑客组织发布虚假的“乌克兰军队投降”信息

    根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。

关注知道创宇云安全

获取安全动态