OpenSSL出現嚴重漏洞，直接危及互聯網使用者財產和個人資訊安全

現有的法律措施大多是進行事後約束，這並非簡單立法即可解決的問題。 如果出現訴訟，一般會形成集體訴訟，但在管轄權和賠償程度上還有許多難題需要解決。 打開任意一個「HTTPs://」開頭的網站，就意味著你打開了一個使用了SSL安全協定的網站。 這一協定被用於提高應用程式之間的資料安全係數，加密資料以隱蔽被傳送的資料。 而作為該協定的一種實現形式，OpenSSL是應用最廣泛的SSL服務軟體。

簡單地說，OpenSSL為你在網站上輸入的各種帳號密碼加了一把虛擬的「鎖」。 這把「鎖」如今被全球三分之二以上的網站使用。

而就在4月9日，OpenSSL爆出了本年度最嚴重的安全性漏洞。 利用該漏洞，駭客坐在自己家裡的電腦前，就可以即時獲取到所有「HTTPs://」開頭網址的使用者登錄帳號密碼，包括網銀、電子郵件等資訊。

因影響巨大，該漏洞被曝光者命名為「heartbleed」，意為「心臟出血」。

國家互聯網應急中心在4月10日發佈進擊通報，通報中稱因為OpenSSL應用極為廣泛，包括政府、金融證券以及高校網站、電子商務、即時聊天、網上支付、辦公系統、郵件系統等諸多服務提供者可能都受到漏洞影響， 直接危及到了互聯網使用者財產和個人資訊安全。

年度最嚴重安全性漏洞

OpenSSL的歷史其實可以追溯到Eric Young所打造的SSLeay。 雖然，美國的約翰霍普金斯大學的Matthew　Green曾經譏諷它為一個「教你自學大數除法」的專案，不過在此之前，加密演算法其實曾經被美國政府牢牢控制。

多年的積累和熟悉的特性包拯OpenSSL順利走向普及，但是，我們如今才剛剛接觸瞭解到其中許多不為人知的深層漏洞。

根據國家互聯網應急中心通報，OpenSSL是一款源碼開放的SSL服務軟體，是用來實現網路通信的加密和認證。 該軟體其中囊括了主要的密碼演算法、常用的金鑰、證書封裝的管理功能還有SSL協定，並提供了豐富的應用程式供測試或其他目的使用。

國家資訊安全性漏洞共用平臺(CNVD)分析，受到該漏洞影響的產品包括：OpenSSL　1.0.1-1.0.1f版本，其餘版本暫不受影響。 綜合各方測試結果，國內外一些大型互聯網企業的相關VPN、郵件服務、即時聊天、網路支付、電子商務、許可權認證等伺服器受到漏洞影響，此外一些政府和高校網站伺服器也受到影響。

CNVD成員單位奇虎360安全專家石曉虹博士表示，OpenSSL此漏洞堪稱「網路核彈」，因為有很多隱私資訊都存儲在網站伺服器的記憶體中，無論使用者電腦多麼安全，只要網站使用了存在漏洞的OpenSSL版本， 使用者登錄該網站時就可能被駭客即時監控到登錄帳號和密碼。

在CNVD的綜合評級中，這一漏洞被評為「高危」。

一些統計資料也可以顯示這一漏洞可能造成的巨大影響。 奇虎360對國內120萬家經過授權的網站掃描，發現其中有11440個網站主機受該漏洞影響。 4月7日、4月8日期間，共計約2億線民訪問了存在OpenSSL漏洞的網站。

而由於OpenSSL是Apache和NGINXWeb兩大伺服器的預設SSL　/　TLS證書，專家估計，全球多達三分之二的「安全」網站很容易通過這一漏洞受到攻擊。

事實上，攻擊的苗頭已經出現。 國家互聯網應急中心通報稱，目前互聯網上已經出現了針對該漏洞的攻擊利用代碼，預計在近期針對該漏洞的攻擊將呈現激增趨勢，對網站服務提供者以及使用者造成的危害將會進一步擴大。

與此同時，OpenSSL在今年4月7日推出了OpenSSL　1.01g,修復了這個漏洞。 目前，國內大量網站正在緊急通過更新軟體來修復漏洞。

然而，此時距該款缺陷軟體推出的2012年3月12日已兩年有餘，是否有帳號資訊被竊取尚無法評估。

誰該對資訊洩露擔責

如果使用者登錄了一個使用了該缺陷協定的網站，導致資訊被盜並產生損失，誰應該對損失負責?這是接下來我們可能要面臨的問題。

互聯網法律專家、中國政法大學傳播法中心研究員朱巍認為，該事件涉及的法律責任包括兩個方面：一是竊取資訊者，即駭客的法律責任;二是存在漏洞伺服器因漏洞造成使用者損失的責任。 前者我國刑法及相關司法解釋有明文規定，後者則較為複雜。

「據資料顯示，該漏洞早在兩年前就曾顯現，駭客可以非法獲取存在漏洞伺服器高達64K資料，這些資料已經足夠獲取個人包括財產資料在內的敏感資訊。 」朱巍向《法制日報》記者分析。

他介紹，在網路交易中，交易網站有義務保護使用者資訊安全，這是源自「使用者協定」的約定和交易誠信責任組成部分。 一旦導致使用者受損，網站應承擔包括違約責任、侵權責任在內的民事法律責任。

「不過，網站也可能有抗辯理由，主要有三種，分別為免責條款的抗辯、不可抗力的抗辯和已盡到提示義務的抗辯。 」朱巍說。

對此，中國政法大學智慧財產權中心特約研究員趙佔領認為，關於不可抗力這一條抗辯理由爭議最大。

「這個漏洞被發現以前造成的損失，網站是否要負責?這個問題可能還需要討論。 因為這不是網站自己的漏洞，只是網站採用了這種國內外通用的協定標準，而這種協定標準本身就存在漏洞，這對於網站來說是無法預料的。 這到底算不算不可抗力，我現在也不能確定。 」趙佔領對《法制日報》記者表示。

朱巍則認為，在此次事件中，不可抗力的抗辯並不成立。 「病毒、漏洞或駭客攻擊在網路世界中廣泛存在，其破壞和出現頻率也無法預計，一般理論認為，在一定程度上，網站可以依據不可抗力進行免責。 不過，在本事件中，SSL漏洞在兩年前就已經出現，在長達兩年的時間內，網站未盡到合理注意義務，因此不能以不可抗力免責。 」

而對於在漏洞被發現之後仍給使用者造成的損失，則沒有太多爭議。 趙佔領認為，如果網站在漏洞發現之後沒有及時採取措施，導致使用者損失進一步擴大，網站毫無疑問地要承擔賠償責任。

若發生損失如何維權

即便發生損失後使用者存在維權空間，但被問及是否有成功案例時，多名接受《法制日報》記者採訪的專家均沒有給出肯定答案。

「實踐中我聽說的起訴案例只有一個，現在還沒有判：浙江一個酒店開發的酒店Wi-Fi管理、認證系統，因存在漏洞而導致使用者資訊洩露，被起訴至法院，前不久剛立案，結果現在還沒出來。 」趙佔領介紹。

而大多數案件都未能走到起訴這一步。

趙佔領分析，主要原因在於取證太困難，一般使用者根本沒辦法證明信息是通過哪個管道洩露的，因為一般使用者的這些資訊在很多地方都可以看到的，所以很難證明。 唯一的辦法就是等公安機關立案，查到犯罪嫌疑人，查清到底是哪個管道洩露的。

他介紹，一旦查清，如果是網站自身或者內部員工洩露，刑法修正案(七)有規定「非法洩露公民個人資訊」的犯罪。 之前，電信公司和支付寶公司洩露使用者資訊的案例就是屬於這種。 而如果是網站被動洩露的，情況則如上文所述，更加複雜。

趙佔領認為，現有的法律措施大多是進行事後約束，這並非簡單立法即可解決的問題。

「像目前的《電信和互聯網使用者個人資訊保護規定》、侵權責任法等都有相關的規定，但並不能解決民事賠償中的取證難題，因此也很少有受害者提起訴訟。 」趙佔領認為，這種困境歸根于我國的電子證據認定有很大的缺陷。

對於OpenSSL漏洞事件，朱巍提出，如果出現訴訟，一般會形成集體訴訟，但在管轄權和賠償程度上還有許多難題需要解決。