“狼來(lái)了”：數(shù)據(jù)已發(fā)生泄露

南京翰海源信息技術(shù)有限公司創(chuàng)始人方興指出：此漏洞事實(shí)上非常簡(jiǎn)單，并不是因?yàn)樗惴ū还テ?，而是由于程序員在設(shè)計(jì)時(shí)沒(méi)有做長(zhǎng)度檢查而產(chǎn)生的內(nèi)在泄露漏洞。

“新生程序員時(shí)常會(huì)犯這樣的錯(cuò)誤?！敝绖?chuàng)宇首席執(zhí)行官楊冀龍如此看待這一問(wèn)題。

“打個(gè)形象的比喻，就像家里的門(mén)很堅(jiān)固也鎖好了，但是發(fā)現(xiàn)窗戶虛掩著?！敝袊?guó)計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專業(yè)委員會(huì)主任嚴(yán)明說(shuō)，這個(gè)漏洞是地震級(jí)別的。

知道創(chuàng)宇公司持續(xù)在線監(jiān)測(cè)情況顯示，雖然大部分公司已有所行動(dòng)，但仍有部分涉及機(jī)構(gòu)動(dòng)作遲緩。截至９日晚，知道創(chuàng)宇公司通過(guò)監(jiān)測(cè)ＺｏｏｍＥｙｅ實(shí)時(shí)掃描數(shù)據(jù)分析發(fā)現(xiàn)，國(guó)內(nèi)１２３０６鐵路客戶服務(wù)中心、微信公眾號(hào)、支付寶、淘寶網(wǎng)、３６０應(yīng)用、陌陌、雅虎、ＱＱ郵箱、微信網(wǎng)頁(yè)版、比特幣中國(guó)、雅虎、知乎等網(wǎng)站的漏洞已經(jīng)修復(fù)完畢。但還有一些網(wǎng)站沒(méi)有完成修復(fù)。

余弦告訴記者，該漏洞并不一定導(dǎo)致用戶數(shù)據(jù)泄露，因?yàn)樵撀┒粗荒軓膬?nèi)存中讀?。叮矗说臄?shù)據(jù)，而重要信息正好落在這個(gè)可讀取的６４Ｋ中的幾率并不大，但是攻擊者可以不斷批量地去獲取這最新的６４Ｋ記錄，這樣就很大程度上可以得到盡可能多的用戶隱私信息。

一位安全行業(yè)人士透露，他在某著名電商網(wǎng)站上用這個(gè)漏洞嘗試讀取數(shù)據(jù)，在讀取２００次后，獲得了４０多個(gè)用戶名、７個(gè)密碼，用這些密碼，他成功地登錄了該網(wǎng)站。