“狼来了”:数据已发生泄露
南京翰海源信息技术有限公司创始人方兴指出:此漏洞事实上非常简单,并不是因为算法被攻破,而是由于程序员在设计时没有做长度检查而产生的内在泄露漏洞。
“新生程序员时常会犯这样的错误。”知道创宇首席执行官杨冀龙如此看待这一问题。
“打个形象的比喻,就像家里的门很坚固也锁好了,但是发现窗户虚掩着。”中国计算机学会计算机安全专业委员会主任严明说,这个漏洞是地震级别的。
知道创宇公司持续在线监测情况显示,虽然大部分公司已有所行动,但仍有部分涉及机构动作迟缓。截至9日晚,知道创宇公司通过监测ZoomEye实时扫描数据分析发现,国内12306铁路客户服务中心、微信公众号、支付宝、淘宝网、360应用、陌陌、雅虎、QQ邮箱、微信网页版、比特币中国、雅虎、知乎等网站的漏洞已经修复完毕。但还有一些网站没有完成修复。
余弦告诉记者,该漏洞并不一定导致用户数据泄露,因为该漏洞只能从内存中读取64K的数据,而重要信息正好落在这个可读取的64K中的几率并不大,但是攻击者可以不断批量地去获取这最新的64K记录,这样就很大程度上可以得到尽可能多的用户隐私信息。
一位安全行业人士透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。
