“狼來了”:數(shù)據(jù)已發(fā)生泄露
南京翰海源信息技術(shù)有限公司創(chuàng)始人方興指出:此漏洞事實上非常簡單,并不是因為算法被攻破,而是由于程序員在設(shè)計時沒有做長度檢查而產(chǎn)生的內(nèi)在泄露漏洞。
“新生程序員時常會犯這樣的錯誤?!敝绖?chuàng)宇首席執(zhí)行官楊冀龍如此看待這一問題。
“打個形象的比喻,就像家里的門很堅固也鎖好了,但是發(fā)現(xiàn)窗戶虛掩著?!敝袊嬎銠C(jī)學(xué)會計算機(jī)安全專業(yè)委員會主任嚴(yán)明說,這個漏洞是地震級別的。
知道創(chuàng)宇公司持續(xù)在線監(jiān)測情況顯示,雖然大部分公司已有所行動,但仍有部分涉及機(jī)構(gòu)動作遲緩。截至9日晚,知道創(chuàng)宇公司通過監(jiān)測ZoomEye實時掃描數(shù)據(jù)分析發(fā)現(xiàn),國內(nèi)12306鐵路客戶服務(wù)中心、微信公眾號、支付寶、淘寶網(wǎng)、360應(yīng)用、陌陌、雅虎、QQ郵箱、微信網(wǎng)頁版、比特幣中國、雅虎、知乎等網(wǎng)站的漏洞已經(jīng)修復(fù)完畢。但還有一些網(wǎng)站沒有完成修復(fù)。
余弦告訴記者,該漏洞并不一定導(dǎo)致用戶數(shù)據(jù)泄露,因為該漏洞只能從內(nèi)存中讀取64K的數(shù)據(jù),而重要信息正好落在這個可讀取的64K中的幾率并不大,但是攻擊者可以不斷批量地去獲取這最新的64K記錄,這樣就很大程度上可以得到盡可能多的用戶隱私信息。
一位安全行業(yè)人士透露,他在某著名電商網(wǎng)站上用這個漏洞嘗試讀取數(shù)據(jù),在讀?。玻埃按魏螅@得了40多個用戶名、7個密碼,用這些密碼,他成功地登錄了該網(wǎng)站。