网站漏洞威胁账户安全 专家:7日至8日网购用户赶紧改密码

　　楚天都市报讯 □本报记者周治涛 乐毅 湖北日报大学生记者刘兴璀

　　近日，国内加密网站（https）被发现存在重大漏洞，导致电商和第三方支付平台不安全，相关用户的资产和个人信息受到威胁。昨日，在汉召开的中国计算机学会青年计算机科技论坛上，多名国内一线网络安全专家纷纷建议：本月7日、8日使用过电商和第三方支付平台购物的用户，有必要检查一下自己的账户是否遭到攻击，并及时更改密码。

　　“那些曾被认为十分安全的网上交易平台‘受伤’，宣告了当下网络已没有绝对安全的领地。”奇虎360技术副总裁谭晓生表示，热衷使用网络打车、购物、转账的时尚一族，正面临支付风险。

　　当下网络有哪些地方容易产生风险？用户如何避免财产损失和隐私泄漏？本报邀请网络安全专家，为读者给出了专业建议。

　　网络安全出现新危机 网友钱包遭黑客威胁

　　“电商和第三方支付平台中招了，大家一定要注意个人账户的安全啊！”昨日，奇虎360技术副总裁谭晓生，一见面就提醒记者。

　　他说，以前，第三方支付平台由于使用了加密技术，用户进行网上交易时比较安全。但此次国内加密网站被发现存在“心脏出血”漏洞，为网络支付交易的安全性打上了一个问号。

　　据了解，黑客可以利用“心脏出血”漏洞，对电商和第三方支付平台展开攻击，威胁用户财产和个人信息安全。截至昨日，国内绝大部分“心脏流血”漏洞已被修复，目前使用电商和第三方支付平台比较安全；而且国内网银系统此次受影响不大，网民可以放心使用。

　　谭晓生建议，本月7日、8日使用过电商和第三方支付平台的用户，有必要检查一下个人账户是否遭到攻击，并及时更改密码。中国信息安全测评中心副总工程师郭涛表示，“心脏流血”漏洞说明网络不存在绝对安全之地，服务器运营商们应及时作好系统升级和堵漏工作，保障用户财产、信息安全。

　　免费WiFi背后藏隐患 大学生网游账号被盗

　　谭晓生表示，在移动互联网时代，很多人热衷在公共场所使用免费WiFi（无线网络信号）上网。殊不知，免费WiFi也可能让用户的个人资产被盗。

　　最近，武汉理工大学研二学生纪晓明，发现他经营多时的网游《征途》账号被盗，让他损失不小，而学校的电脑里安装了防火墙，并定期查杀“木马”病毒，一直以来没有发生账号、密码被盗情况。仔细回想后，他发现是自己使用不明WiFi后中了招。

　　原来，上个月底，他在汉口花园道一家餐厅用餐时，发现该餐厅有公共WiFi，便用手机登录上网，并输入过自己的网游账号。

　　谭晓生说，黑客常常针对一些手机用户爱“蹭网”的习惯，布下陷阱，在一些公共场所建立WiFi站点，盗取用户信息。如北京星巴克曾出现一个名为“starbucks”的免费WiFi信号，便是一个钓鱼陷阱，不少网友中招。

　　谭晓生建议，在一些提供免费WiFi的地方，网友要先问明、看清免费WiFi名称再登录，否则会遇到风险。

　　无线路由器易遭入侵 多次改密码仍被窃密

　　近日，华中农业大学四年级学生任学良发现，在寝室用WiFi上网时，网速很慢，“以前半个小时就能下载一部电影，现在半天还下不完。”他登录无线路由网址后台发现，居然有11个用户在同时上网。原来，他的无线路由器被入侵了。

　　“路由器的密码只有我和3名室友知道，其他用户都是谁？”此后，他每周都会更改路由器密码，但每次更改一两天后，又会出现入侵情况。

　　网友介绍，在网上很容易找到WiFi密码破解程序，入侵者通常使用一台密码机，通过无限次试密码的方式，很快就能破解。由于目前WiFi不像取款机一样只能试有限次数密码，只要有足够耐心就可以破解WiFi密码。

　　昨日，在武汉大学电信工程专业研究生的指导下，记者首先打开已设置密码的一台无线路由器，并在一台电脑上搜寻到相应的WiFi信号，开始运行事先下载的一款WiFi密码破解程序，并导入密码字典进行破解，约6分钟即获得一组8位数的纯数字密码。输入该密码连接上网，可查看到同一路由器上的其他用户账户资料、登录过的网站信息等敏感内容。

　　武汉大学空天信息安全与可信计算重点实验室教授傅建明表示，很多型号的无线路由器存在系统漏洞，黑客利用这些漏洞，可篡改路由器的DNS设置，传送错误IP地址，“劫持”该路由器上的所有用户，盗取用户个人资料、账号密码等。

　　专家建议

　　三招守住网络安全

　　第一招：更新路由器密保方式

　　家庭用户要保护路由器不被侵入，要注意以下几点：设置无线密码时使用最新密保方式，不能过于简单；更改路由器管理网页登录账户、密码，不要使用默认的用户名；在设备中安装具有局域网防护功能的安全软件；经常登录路由器管理后台，清除不明用户。

　　第二招：移动设备不要“越狱”

　　对于智能手机用户，在公共场合不要随意登录不明WiFi；登录公用WiFi时，尽量不用敏感软件，如第三方支付平台等；在公共环境运行第三方支付平台等软件时，要配合使用验证工具；使用手机、IPAD等移动设备时，不要“越狱”（即获得最高使用权限）；实时监控手机软件的权限，对那些可获取短信、联系人等敏感信息的软件，要小心提防。

　　第三招：三级密码保上网安全

　　网络用户最好使用三级密码设置：第一级用于安全性较低的社交网络，如微博等；第二级用于个人隐私信息，密码设置应大于15位，且不要使用纯数字；第三级用于网银、第三方支付平台等，要采用更复杂的密码。

　　此外，三级密码之间最好互不关联，使用网银或第三方支付时开通短信功能。