2010年底，開(kāi)源加密庫(kù)O penSSL程序員、德國(guó)人羅賓·賽格爾曼提交了一份例行程序代碼升級(jí)方案，由于時(shí)值新年假期前夕，賽格爾曼本人和審查者斯蒂芬·亨森鬼使神差地均未發(fā)現(xiàn)其中包含一個(gè)致命的程序漏洞，這個(gè)漏洞一旦更新成為O penSSL代碼的一部分，就可能賦予這一加密庫(kù)一個(gè)危險(xiǎn)破綻，有經(jīng)驗(yàn)的黑客可借此讀取網(wǎng)絡(luò)服務(wù)器內(nèi)存，從而訪問(wèn)并竊取最敏感、最核心的用戶數(shù)據(jù)。由于O penSSL本身的用途，正是為網(wǎng)站數(shù)據(jù)加密并提供隱私保護(hù)，通俗地說(shuō)，就是網(wǎng)絡(luò)安全的“密碼鎖”，“心臟出血”恰恰讓這把“密碼鎖”的密碼鑰匙被公然掛在客廳里，后果可想而知。

　　4月3日，谷歌工程師尼爾·梅塔首先發(fā)現(xiàn)了“心臟出血”漏洞，隨后計(jì)算機(jī)安全公司C odenom icon也發(fā)現(xiàn)了問(wèn)題，并進(jìn)一步證實(shí)了問(wèn)題的嚴(yán)重性。4月7日，雅虎、GitH ub、LastPass等網(wǎng)站相繼發(fā)布公告，承認(rèn)受到“心臟出血”漏洞影響，建議用戶更改密碼。

　　直至此時(shí)，大部分主流網(wǎng)站和幾乎所有主要電子運(yùn)營(yíng)商都對(duì)此事保持緘默，甚至有人樂(lè)觀預(yù)期，“心臟出血”不過(guò)是“讓大家麻煩些更換密碼”的癬疥之患。

　　然而更驚人的消息很快傳出：幾天后，擁有150萬(wàn)注冊(cè)用戶的英國(guó)育嬰網(wǎng)站M um snet公開(kāi)承認(rèn)，自己的數(shù)據(jù)庫(kù)被黑客借助“心臟出血”漏洞成功入侵，部分用戶密碼和個(gè)人信息被盜。據(jù)稱(chēng)，該網(wǎng)站創(chuàng)始人朱斯汀·羅伯茨在自己網(wǎng)站上注冊(cè)的個(gè)人ID和密碼被人竊取并在網(wǎng)站發(fā)布信息，隨后黑客主動(dòng)通知網(wǎng)站管理員，表示自己是通過(guò)“心臟出血”漏洞成功入侵，警告“數(shù)據(jù)庫(kù)不安全”。4月11日，著名黑客費(fèi)多爾·安度特尼也通過(guò)“親身實(shí)踐”證明，通過(guò)“心臟出血”漏洞，熟練黑客可創(chuàng)建一個(gè)和合法網(wǎng)站一模一樣的假網(wǎng)站，并偽造電子證書(shū)，誘使用戶在注冊(cè)、登錄或進(jìn)行在線交易時(shí)泄露有價(jià)值的個(gè)人信息。

　　上述消息意味著，此前一些人“只要換一下用戶密碼就萬(wàn)事大吉”的樂(lè)觀預(yù)期與事實(shí)不符“心臟出血”可遠(yuǎn)不是個(gè)密碼保護(hù)問(wèn)題。

　　幾乎與此同時(shí)，加拿大聯(lián)邦稅務(wù)局(C R A)宣布，同樣因“心臟出血”漏洞，黑客闖入C R A官網(wǎng)數(shù)據(jù)庫(kù)，竊取了多達(dá)900人的社會(huì)保險(xiǎn)卡(SIN )資料。如果說(shuō)此前的M um snet事件，黑客還帶有試驗(yàn)、預(yù)警的“正面”目的，那么加拿大聯(lián)邦稅務(wù)局的失密事件，可謂“心臟出血”漏洞公開(kāi)披露后第一次證據(jù)確鑿、惡意明顯的人為攻擊。

　　從經(jīng)濟(jì)上講，“心臟出血”已開(kāi)始構(gòu)成經(jīng)濟(jì)上的直接損失和間接影響。因?yàn)?00人的SIN卡信息被盜，加拿大局CR A官方網(wǎng)站一度被迫關(guān)閉，原定4月12日的恢復(fù)時(shí)間被拖延到15日，且開(kāi)放當(dāng)天因信息涌入過(guò)多而造成網(wǎng)絡(luò)訪問(wèn)不暢。C R A網(wǎng)站長(zhǎng)時(shí)間關(guān)閉，影響了眾多人網(wǎng)上報(bào)稅，因?yàn)槊磕?月30日是加拿大報(bào)稅最終期限，按規(guī)定倘4月30日前不能完成報(bào)稅，會(huì)遭到罰款和收取利息。為此，CR A最終不得不宣布，今年如果逾期，將不會(huì)被追究責(zé)任。此外，CR A網(wǎng)絡(luò)系統(tǒng)的關(guān)閉會(huì)影響某些中小企業(yè)的財(cái)務(wù)，甚至一來(lái)很多單位將無(wú)法按時(shí)發(fā)放員工工資。

　　一些財(cái)務(wù)專(zhuān)家指出，由于漏洞系與O penSSL加密庫(kù)“捆綁”，CR A不得不斥巨資緊急更換了整個(gè)加密系統(tǒng)，不僅如此，當(dāng)4月11日“安度特尼實(shí)驗(yàn)”的信息被披露后，CR A為防萬(wàn)一，不得不宣布將更多采用普通掛號(hào)信、而非電子郵件方式和用戶聯(lián)系，這意味著需要雇傭更多臨時(shí)性人手，以及隨之而來(lái)的成本增加。

　　然而“心臟出血”所造成的經(jīng)濟(jì)影響，恐遠(yuǎn)不止于此。

　　“心臟出血”給人們最大的震撼，在于迄今讓互聯(lián)網(wǎng)保持通暢，讓人們相信網(wǎng)上交聯(lián)這種“看不見(jiàn)的交流”可以建立，甚至可以發(fā)生商業(yè)交易的前提— 如今都被證明不可靠，或至少“不知道是否可靠”。此次“心臟出血”漏洞曝光之初，人們還慶幸除了雅虎，很少有大公司、知名網(wǎng)站卷入其中，但“安度特尼實(shí)驗(yàn)”和加拿大CR A網(wǎng)站的失密和一度癱瘓，讓人們匆匆筑起的心理臨時(shí)防線瞬間崩潰。

　　不管漏洞產(chǎn)生的真相是否出于故意，但誰(shuí)都無(wú)法確信，其它類(lèi)似情況和場(chǎng)合是否會(huì)重演；同樣誰(shuí)都無(wú)法確信，下一次人們碰上的僅僅是又一次“心臟出血”，而非心肌梗塞。

　　“心臟出血”漏洞剛剛報(bào)告之際，G itH ub匆匆發(fā)布了一份“安民告示”，列舉了據(jù)稱(chēng)截至4月8日，對(duì)訪問(wèn)量排名TO P1000網(wǎng)站的“全面權(quán)威性調(diào)查”，得出的結(jié)論是，雅虎、Im gur等若干網(wǎng)站“存在較大隱患和風(fēng)險(xiǎn)”，而谷歌、臉書(shū)、維基百科、推特和亞馬遜在線等主要網(wǎng)站“安全沒(méi)有問(wèn)題”。但只幾天功夫，“白名單”上的亞馬遜在線就公開(kāi)承認(rèn)“可能受到漏洞影響”，維基百科雖未直接提及“心臟出血”，卻建議用戶更改密碼，更讓人啼笑皆非的是，G itH ub自己隨后也發(fā)布了和亞馬遜在線幾乎如出一轍的聲明。這種做法本身，恐只會(huì)令本已被“心臟出血”嚴(yán)重影響了其對(duì)網(wǎng)絡(luò)安全、對(duì)在線服務(wù)、對(duì)運(yùn)營(yíng)商信心的用戶們，產(chǎn)生更多不信任感。

　　《華盛頓郵報(bào)》援引專(zhuān)家最新預(yù)計(jì)，認(rèn)為“心臟出血”的直接、間接影響，將覆蓋全球互聯(lián)網(wǎng)用戶的2/3，并促使成千上萬(wàn)用戶改變其對(duì)谷歌、雅虎、臉書(shū)等的密碼和使用方式。目前最有效的補(bǔ)救方式，是讓每一家可能受到影響的網(wǎng)站更換安全證書(shū)，這勢(shì)必牽扯到一筆龐大的開(kāi)支。經(jīng)此一役，無(wú)論是用戶或者個(gè)人恐怕都會(huì)削弱對(duì)在線業(yè)務(wù)、電子營(yíng)商的信心和興趣。

　　或許，如某些專(zhuān)家所言，近年來(lái)流行的“通過(guò)增加密碼鎖增加安全感”的網(wǎng)站安全維護(hù)思路，需要有所調(diào)整了— 事實(shí)證明，這樣做不僅耗費(fèi)巨大，而且，一旦出問(wèn)題的是密碼鎖本身，后果甚至比“開(kāi)門(mén)揖盜”更不堪設(shè)想。