全球近期被一個新鮮的詞組——“心臟出血”(Heartbleed)折騰得心驚肉跳、寢食難安，因為這個名詞，幾乎顛覆了互聯(lián)網世界一切既定秩序。然而，與以往不同，“心臟出血”既不是什么兇猛的病毒，也不是什么叵測的密碼，而只是一個程序上的漏洞，且這個漏洞很可能并非出于蓄意破壞，而只是一次陰差陽錯的疏忽所致。

　　2010年底，開源加密庫OpenSSL程序員、德國人羅賓·賽格爾曼提交了一份例行程序代碼升級方案，由于時值新年假期前夕，賽格爾曼本人和審查者斯蒂芬·亨森鬼使神差地均未發(fā)現(xiàn)其中包含一個致命的程序漏洞，這個漏洞一旦更新成為O penSSL代碼的一部分，就可能賦予這一加密庫一個危險破綻，有經驗的黑客可借此讀取網絡服務器內存，從而訪問并竊取最敏感、最核心的用戶數(shù)據。由于OpenSSL本身的用途，正是為網站數(shù)據加密并提供隱私保護，通俗地說，就是網絡安全的“密碼鎖”，“心臟出血”恰恰讓這把“密碼鎖”的密碼鑰匙被公然掛在客廳里，后果可想而知。

　　4月3日，谷歌工程師尼爾·梅塔首先發(fā)現(xiàn)了“心臟出血”漏洞，隨后計算機安全公司Codenomicon也發(fā)現(xiàn)了問題，并進一步證實了問題的嚴重性。4月7日，雅虎、GitHub、LastPass等網站相繼發(fā)布公告，承認受到“心臟出血”漏洞影響，建議用戶更改密碼。

　　直至此時，大部分主流網站和幾乎所有主要電子運營商都對此事保持緘默，甚至有人樂觀預期，“心臟出血”不過是“讓大家麻煩些更換密碼”的癬疥之患。

　　然而更驚人的消息很快傳出：幾天后，擁有150萬注冊用戶的英國育嬰網站Mumsnet公開承認，自己的數(shù)據庫被黑客借助“心臟出血”漏洞成功入侵，部分用戶密碼和個人信息被盜。據稱，該網站創(chuàng)始人朱斯汀·羅伯茨在自己網站上注冊的個人ID和密碼被人竊取并在網站發(fā)布信息，隨后黑客主動通知網站管理員，表示自己是通過“心臟出血”漏洞成功入侵，警告“數(shù)據庫不安全”。4月11日，著名黑客費多爾·安度特尼也通過“親身實踐”證明，通過“心臟出血”漏洞，熟練黑客可創(chuàng)建一個和合法網站一模一樣的假網站，并偽造電子證書，誘使用戶在注冊、登錄或進行在線交易時泄露有價值的個人信息。

　　上述消息意味著，此前一些人“只要換一下用戶密碼就萬事大吉”的樂觀預期與事實不符“心臟出血”可遠不是個密碼保護問題。

　　幾乎與此同時，加拿大聯(lián)邦稅務局(CRA)宣布，同樣因“心臟出血”漏洞，黑客闖入CRA官網數(shù)據庫，竊取了多達900人的社會保險卡(SIN )資料。如果說此前的Mumsnet事件，黑客還帶有試驗、預警的“正面”目的，那么加拿大聯(lián)邦稅務局的失密事件，可謂“心臟出血”漏洞公開披露后第一次證據確鑿、惡意明顯的人為攻擊。

　　從經濟上講，“心臟出血”已開始構成經濟上的直接損失和間接影響。因為900人的SIN卡信息被盜，加拿大局CRA官方網站一度被迫關閉，原定4月12日的恢復時間被拖延到15日，且開放當天因信息涌入過多而造成網絡訪問不暢。CRA網站長時間關閉，影響了眾多人網上報稅，因為每年4月30日是加拿大報稅最終期限，按規(guī)定倘4月30日前不能完成報稅，會遭到罰款和收取利息。為此，CRA最終不得不宣布，今年如果逾期，將不會被追究責任。此外，CR A網絡系統(tǒng)的關閉會影響某些中小企業(yè)的財務，甚至一來很多單位將無法按時發(fā)放員工工資。

　　一些財務專家指出，由于漏洞系與OpenSSL加密庫“捆綁”，CRA不得不斥巨資緊急更換了整個加密系統(tǒng)，不僅如此，當4月11日“安度特尼實驗”的信息被披露后，CRA為防萬一，不得不宣布將更多采用普通掛號信、而非電子郵件方式和用戶聯(lián)系，這意味著需要雇傭更多臨時性人手，以及隨之而來的成本增加。

　　然而“心臟出血”所造成的經濟影響，恐遠不止于此。

　　“心臟出血”給人們最大的震撼，在于迄今讓互聯(lián)網保持通暢，讓人們相信網上交聯(lián)這種“看不見的交流”可以建立，甚至可以發(fā)生商業(yè)交易的前提——如今都被證明不可靠，或至少“不知道是否可靠”。此次“心臟出血”漏洞曝光之初，人們還慶幸除了雅虎，很少有大公司、知名網站卷入其中，但“安度特尼實驗”和加拿大CRA網站的失密和一度癱瘓，讓人們匆匆筑起的心理臨時防線瞬間崩潰。

　　不管漏洞產生的真相是否出于故意，但誰都無法確信，其它類似情況和場合是否會重演；同樣誰都無法確信，下一次人們碰上的僅僅是又一次“心臟出血”，而非心肌梗塞。

　　“心臟出血”漏洞剛剛報告之際，GitHub匆匆發(fā)布了一份“安民告示”，列舉了據稱截至4月8日，對訪問量排名TOP1000網站的“全面權威性調查”，得出的結論是，雅虎、Imgur等若干網站“存在較大隱患和風險”，而谷歌、臉書、維基百科、推特和亞馬遜在線等主要網站“安全沒有問題”。但只幾天功夫，“白名單”上的亞馬遜在線就公開承認“可能受到漏洞影響”，維基百科雖未直接提及“心臟出血”，卻建議用戶更改密碼，更讓人啼笑皆非的是，GitHub自己隨后也發(fā)布了和亞馬遜在線幾乎如出一轍的聲明。這種做法本身，恐只會令本已被“心臟出血”嚴重影響了其對網絡安全、對在線服務、對運營商信心的用戶們，產生更多不信任感。

　　《華盛頓郵報》援引專家最新預計，認為“心臟出血”的直接、間接影響，將覆蓋全球互聯(lián)網用戶的2/3，并促使成千上萬用戶改變其對谷歌、雅虎、臉書等的密碼和使用方式。目前最有效的補救方式，是讓每一家可能受到影響的網站更換安全證書，這勢必牽扯到一筆龐大的開支。經此一役，無論是用戶或者個人恐怕都會削弱對在線業(yè)務、電子營商的信心和興趣。

　　或許，如某些專家所言，近年來流行的“通過增加密碼鎖增加安全感”的網站安全維護思路，需要有所調整了——事實證明，這樣做不僅耗費巨大，而且，一旦出問題的是密碼鎖本身，后果甚至比“開門揖盜”更不堪設想。