全球近期被一個(gè)新鮮的詞組——“心臟出血”(Heartbleed)折騰得心驚肉跳、寢食難安，因?yàn)檫@個(gè)名詞，幾乎顛覆了互聯(lián)網(wǎng)世界一切既定秩序。然而，與以往不同，“心臟出血”既不是什么兇猛的病毒，也不是什么叵測的密碼，而只是一個(gè)程序上的漏洞，且這個(gè)漏洞很可能并非出于蓄意破壞，而只是一次陰差陽錯(cuò)的疏忽所致。

　　2010年底，開源加密庫OpenSSL程序員、德國人羅賓·賽格爾曼提交了一份例行程序代碼升級(jí)方案，由于時(shí)值新年假期前夕，賽格爾曼本人和審查者斯蒂芬·亨森鬼使神差地均未發(fā)現(xiàn)其中包含一個(gè)致命的程序漏洞，這個(gè)漏洞一旦更新成為O penSSL代碼的一部分，就可能賦予這一加密庫一個(gè)危險(xiǎn)破綻，有經(jīng)驗(yàn)的黑客可借此讀取網(wǎng)絡(luò)服務(wù)器內(nèi)存，從而訪問并竊取最敏感、最核心的用戶數(shù)據(jù)。由于OpenSSL本身的用途，正是為網(wǎng)站數(shù)據(jù)加密并提供隱私保護(hù)，通俗地說，就是網(wǎng)絡(luò)安全的“密碼鎖”，“心臟出血”恰恰讓這把“密碼鎖”的密碼鑰匙被公然掛在客廳里，后果可想而知。

　　4月3日，谷歌工程師尼爾·梅塔首先發(fā)現(xiàn)了“心臟出血”漏洞，隨后計(jì)算機(jī)安全公司Codenomicon也發(fā)現(xiàn)了問題，并進(jìn)一步證實(shí)了問題的嚴(yán)重性。4月7日，雅虎、GitHub、LastPass等網(wǎng)站相繼發(fā)布公告，承認(rèn)受到“心臟出血”漏洞影響，建議用戶更改密碼。

　　直至此時(shí)，大部分主流網(wǎng)站和幾乎所有主要電子運(yùn)營商都對(duì)此事保持緘默，甚至有人樂觀預(yù)期，“心臟出血”不過是“讓大家麻煩些更換密碼”的癬疥之患。

　　然而更驚人的消息很快傳出：幾天后，擁有150萬注冊(cè)用戶的英國育嬰網(wǎng)站Mumsnet公開承認(rèn)，自己的數(shù)據(jù)庫被黑客借助“心臟出血”漏洞成功入侵，部分用戶密碼和個(gè)人信息被盜。據(jù)稱，該網(wǎng)站創(chuàng)始人朱斯汀·羅伯茨在自己網(wǎng)站上注冊(cè)的個(gè)人ID和密碼被人竊取并在網(wǎng)站發(fā)布信息，隨后黑客主動(dòng)通知網(wǎng)站管理員，表示自己是通過“心臟出血”漏洞成功入侵，警告“數(shù)據(jù)庫不安全”。4月11日，著名黑客費(fèi)多爾·安度特尼也通過“親身實(shí)踐”證明，通過“心臟出血”漏洞，熟練黑客可創(chuàng)建一個(gè)和合法網(wǎng)站一模一樣的假網(wǎng)站，并偽造電子證書，誘使用戶在注冊(cè)、登錄或進(jìn)行在線交易時(shí)泄露有價(jià)值的個(gè)人信息。

　　上述消息意味著，此前一些人“只要換一下用戶密碼就萬事大吉”的樂觀預(yù)期與事實(shí)不符“心臟出血”可遠(yuǎn)不是個(gè)密碼保護(hù)問題。

　　幾乎與此同時(shí)，加拿大聯(lián)邦稅務(wù)局(CRA)宣布，同樣因“心臟出血”漏洞，黑客闖入CRA官網(wǎng)數(shù)據(jù)庫，竊取了多達(dá)900人的社會(huì)保險(xiǎn)卡(SIN )資料。如果說此前的Mumsnet事件，黑客還帶有試驗(yàn)、預(yù)警的“正面”目的，那么加拿大聯(lián)邦稅務(wù)局的失密事件，可謂“心臟出血”漏洞公開披露后第一次證據(jù)確鑿、惡意明顯的人為攻擊。

　　從經(jīng)濟(jì)上講，“心臟出血”已開始構(gòu)成經(jīng)濟(jì)上的直接損失和間接影響。因?yàn)?00人的SIN卡信息被盜，加拿大局CRA官方網(wǎng)站一度被迫關(guān)閉，原定4月12日的恢復(fù)時(shí)間被拖延到15日，且開放當(dāng)天因信息涌入過多而造成網(wǎng)絡(luò)訪問不暢。CRA網(wǎng)站長時(shí)間關(guān)閉，影響了眾多人網(wǎng)上報(bào)稅，因?yàn)槊磕?月30日是加拿大報(bào)稅最終期限，按規(guī)定倘4月30日前不能完成報(bào)稅，會(huì)遭到罰款和收取利息。為此，CRA最終不得不宣布，今年如果逾期，將不會(huì)被追究責(zé)任。此外，CR A網(wǎng)絡(luò)系統(tǒng)的關(guān)閉會(huì)影響某些中小企業(yè)的財(cái)務(wù)，甚至一來很多單位將無法按時(shí)發(fā)放員工工資。

　　一些財(cái)務(wù)專家指出，由于漏洞系與OpenSSL加密庫“捆綁”，CRA不得不斥巨資緊急更換了整個(gè)加密系統(tǒng)，不僅如此，當(dāng)4月11日“安度特尼實(shí)驗(yàn)”的信息被披露后，CRA為防萬一，不得不宣布將更多采用普通掛號(hào)信、而非電子郵件方式和用戶聯(lián)系，這意味著需要雇傭更多臨時(shí)性人手，以及隨之而來的成本增加。

　　然而“心臟出血”所造成的經(jīng)濟(jì)影響，恐遠(yuǎn)不止于此。

　　“心臟出血”給人們最大的震撼，在于迄今讓互聯(lián)網(wǎng)保持通暢，讓人們相信網(wǎng)上交聯(lián)這種“看不見的交流”可以建立，甚至可以發(fā)生商業(yè)交易的前提——如今都被證明不可靠，或至少“不知道是否可靠”。此次“心臟出血”漏洞曝光之初，人們還慶幸除了雅虎，很少有大公司、知名網(wǎng)站卷入其中，但“安度特尼實(shí)驗(yàn)”和加拿大CRA網(wǎng)站的失密和一度癱瘓，讓人們匆匆筑起的心理臨時(shí)防線瞬間崩潰。

　　不管漏洞產(chǎn)生的真相是否出于故意，但誰都無法確信，其它類似情況和場合是否會(huì)重演；同樣誰都無法確信，下一次人們碰上的僅僅是又一次“心臟出血”，而非心肌梗塞。

　　“心臟出血”漏洞剛剛報(bào)告之際，GitHub匆匆發(fā)布了一份“安民告示”，列舉了據(jù)稱截至4月8日，對(duì)訪問量排名TOP1000網(wǎng)站的“全面權(quán)威性調(diào)查”，得出的結(jié)論是，雅虎、Imgur等若干網(wǎng)站“存在較大隱患和風(fēng)險(xiǎn)”，而谷歌、臉書、維基百科、推特和亞馬遜在線等主要網(wǎng)站“安全沒有問題”。但只幾天功夫，“白名單”上的亞馬遜在線就公開承認(rèn)“可能受到漏洞影響”，維基百科雖未直接提及“心臟出血”，卻建議用戶更改密碼，更讓人啼笑皆非的是，GitHub自己隨后也發(fā)布了和亞馬遜在線幾乎如出一轍的聲明。這種做法本身，恐只會(huì)令本已被“心臟出血”嚴(yán)重影響了其對(duì)網(wǎng)絡(luò)安全、對(duì)在線服務(wù)、對(duì)運(yùn)營商信心的用戶們，產(chǎn)生更多不信任感。

　　《華盛頓郵報(bào)》援引專家最新預(yù)計(jì)，認(rèn)為“心臟出血”的直接、間接影響，將覆蓋全球互聯(lián)網(wǎng)用戶的2/3，并促使成千上萬用戶改變其對(duì)谷歌、雅虎、臉書等的密碼和使用方式。目前最有效的補(bǔ)救方式，是讓每一家可能受到影響的網(wǎng)站更換安全證書，這勢(shì)必牽扯到一筆龐大的開支。經(jīng)此一役，無論是用戶或者個(gè)人恐怕都會(huì)削弱對(duì)在線業(yè)務(wù)、電子營商的信心和興趣。

　　或許，如某些專家所言，近年來流行的“通過增加密碼鎖增加安全感”的網(wǎng)站安全維護(hù)思路，需要有所調(diào)整了——事實(shí)證明，這樣做不僅耗費(fèi)巨大，而且，一旦出問題的是密碼鎖本身，后果甚至比“開門揖盜”更不堪設(shè)想。