“心臟出血”O(jiān)penSSL漏洞，用戶安全風(fēng)險誰擔(dān)責(zé)

現(xiàn)有的法律措施大多是進行事后約束，這并非簡單立法即可解決的問題。如果出現(xiàn)訴訟，一般會形成集體訴訟，但在管轄權(quán)和賠償程度上還有許多難題需要解決。打開任意一個“https://”開頭的網(wǎng)站，就意味著你打開了一個使用了SSL安全協(xié)議的網(wǎng)站。 這一協(xié)議被用于提高應(yīng)用程序之間的數(shù)據(jù)安全系數(shù)，加密數(shù)據(jù)以隱蔽被傳送的數(shù)據(jù)。而作為該協(xié)議的一種實現(xiàn)形式，OpenSSL是應(yīng)用最廣泛的SSL服務(wù)軟件。

簡單地說，OpenSSL為你在網(wǎng)站上輸入的各種賬號密碼加了一把虛擬的“鎖”。這把“鎖”如今被全球三分之二以上的網(wǎng)站使用。

而就在4月9日，OpenSSL爆出了本年度最嚴重的安全漏洞。利用該漏洞，黑客坐在自己家里的電腦前，就可以實時獲取到所有“https://”開頭網(wǎng)址的用戶登錄賬號密碼，包括網(wǎng)銀、電子郵件等信息。

因影響巨大，該漏洞被曝光者命名為“heartbleed”，意為“心臟出血”。

4月10日，國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布通報，稱由于OpenSSL應(yīng)用極為廣泛，包括政府、高校網(wǎng)站以及金融證券、電子商務(wù)、網(wǎng)上支付、即時聊天、辦公系統(tǒng)、郵件系統(tǒng)等諸多服務(wù)提供商均受到漏洞影響，直接危及互聯(lián)網(wǎng)用戶財產(chǎn)和個人信息安全。

年度最嚴重安全漏洞

OpenSSL的歷史可以追溯到Eric　Young所打造的SSLeay。雖然來自美國約翰霍普金斯大學(xué)的Matthew　Green曾經(jīng)將其譏諷為一個“教你自學(xué)大數(shù)除法”的項目，但在此之前，加密算法曾經(jīng)由美國政府牢牢控制。

多年的積累加上熟悉的特性使OpenSSL順利走向普及，而我們?nèi)缃癫艅倓偨佑|到其中不為人知的深層漏洞。

據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心通報，OpenSSL是一款開放源碼的SSL服務(wù)軟件，用來實現(xiàn)網(wǎng)絡(luò)通信的加密和認證。該軟件囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議，并提供了豐富的應(yīng)用程序供測試或其他目的使用。

國家信息安全漏洞共享平臺(CNVD)分析，受到該漏洞影響的產(chǎn)品包括：OpenSSL　1.0.1-1.0.1f版本，其余版本暫不受影響。綜合各方測試結(jié)果，國內(nèi)外一些大型互聯(lián)網(wǎng)企業(yè)的相關(guān)VPN、郵件服務(wù)、即時聊天、網(wǎng)絡(luò)支付、電子商務(wù)、權(quán)限認證等服務(wù)器受到漏洞影響，此外一些政府和高校網(wǎng)站服務(wù)器也受到影響。

CNVD成員單位奇虎360安全專家石曉虹博士表示，OpenSSL此漏洞堪稱“網(wǎng)絡(luò)核彈”，因為有很多隱私信息都存儲在網(wǎng)站服務(wù)器的內(nèi)存中，無論用戶電腦多么安全，只要網(wǎng)站使用了存在漏洞的OpenSSL版本，用戶登錄該網(wǎng)站時就可能被黑客實時監(jiān)控到登錄賬號和密碼。

在CNVD的綜合評級中，這一漏洞被評為“高危”。

一些統(tǒng)計數(shù)據(jù)也可以顯示這一漏洞可能造成的巨大影響。奇虎360對國內(nèi)120萬家經(jīng)過授權(quán)的網(wǎng)站掃描，發(fā)現(xiàn)其中有11440個網(wǎng)站主機受該漏洞影響。4月7日、4月8日期間，共計約2億網(wǎng)民訪問了存在OpenSSL漏洞的網(wǎng)站。

而由于OpenSSL是Apache和NGINXWeb兩大服務(wù)器的默認SSL　/　TLS證書，專家估計，全球多達三分之二的“安全”網(wǎng)站很容易通過這一漏洞受到攻擊。

事實上，攻擊的苗頭已經(jīng)出現(xiàn)。國家互聯(lián)網(wǎng)應(yīng)急中心通報稱，目前互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)了針對該漏洞的攻擊利用代碼，預(yù)計在近期針對該漏洞的攻擊將呈現(xiàn)激增趨勢，對網(wǎng)站服務(wù)提供商以及用戶造成的危害將會進一步擴大。

與此同時，OpenSSL在今年4月7日推出了OpenSSL　1.01g,修復(fù)了這個漏洞。目前，國內(nèi)大量網(wǎng)站正在緊急通過更新軟件來修復(fù)漏洞。

然而，此時距該款缺陷軟件推出的2012年3月12日已兩年有余，是否有賬號信息被竊取尚無法評估。

誰該對信息泄露擔(dān)責(zé)

如果用戶登錄了一個使用了該缺陷協(xié)議的網(wǎng)站，導(dǎo)致信息被盜并產(chǎn)生損失，誰應(yīng)該對損失負責(zé)?這是接下來我們可能要面臨的問題。

互聯(lián)網(wǎng)法律專家、中國政法大學(xué)傳播法中心研究員朱巍認為，該事件涉及的法律責(zé)任包括兩個方面：一是竊取信息者，即黑客的法律責(zé)任;二是存在漏洞服務(wù)器因漏洞造成用戶損失的責(zé)任。前者我國刑法及相關(guān)司法解釋有明文規(guī)定，后者則較為復(fù)雜。

“據(jù)資料顯示，該漏洞早在兩年前就曾顯現(xiàn)，黑客可以非法獲取存在漏洞服務(wù)器高達64K數(shù)據(jù)，這些數(shù)據(jù)已經(jīng)足夠獲取個人包括財產(chǎn)數(shù)據(jù)在內(nèi)的敏感信息。”朱巍向《法制日報》記者分析。

他介紹，在網(wǎng)絡(luò)交易中，交易網(wǎng)站有義務(wù)保護用戶信息安全，這是源自“用戶協(xié)議”的約定和交易誠信責(zé)任組成部分。一旦導(dǎo)致用戶受損，網(wǎng)站應(yīng)承擔(dān)包括違約責(zé)任、侵權(quán)責(zé)任在內(nèi)的民事法律責(zé)任。

“不過，網(wǎng)站也可能有抗辯理由，主要有三種，分別為免責(zé)條款的抗辯、不可抗力的抗辯和已盡到提示義務(wù)的抗辯。”朱巍說。

對此，中國政法大學(xué)知識產(chǎn)權(quán)中心特約研究員趙占領(lǐng)認為，關(guān)于不可抗力這一條抗辯理由爭議最大。

“這個漏洞被發(fā)現(xiàn)以前造成的損失，網(wǎng)站是否要負責(zé)?這個問題可能還需要討論。因為這不是網(wǎng)站自己的漏洞，只是網(wǎng)站采用了這種國內(nèi)外通用的協(xié)議標準，而這種協(xié)議標準本身就存在漏洞，這對于網(wǎng)站來說是無法預(yù)料的。這到底算不算不可抗力，我現(xiàn)在也不能確定。”趙占領(lǐng)對《法制日報》記者表示。

朱巍則認為，在此次事件中，不可抗力的抗辯并不成立。“病毒、漏洞或黑客攻擊在網(wǎng)絡(luò)世界中廣泛存在，其破壞和出現(xiàn)頻率也無法預(yù)計，一般理論認為，在一定程度上，網(wǎng)站可以依據(jù)不可抗力進行免責(zé)。不過，在本事件中，SSL漏洞在兩年前就已經(jīng)出現(xiàn)，在長達兩年的時間內(nèi)，網(wǎng)站未盡到合理注意義務(wù)，因此不能以不可抗力免責(zé)。”

而對于在漏洞被發(fā)現(xiàn)之后仍給用戶造成的損失，則沒有太多爭議。趙占領(lǐng)認為，如果網(wǎng)站在漏洞發(fā)現(xiàn)之后沒有及時采取措施，導(dǎo)致用戶損失進一步擴大，網(wǎng)站毫無疑問地要承擔(dān)賠償責(zé)任。

若發(fā)生損失如何維權(quán)

即便發(fā)生損失后用戶存在維權(quán)空間，但被問及是否有成功案例時，多名接受《法制日報》記者采訪的專家均沒有給出肯定答案。

“實踐中我聽說的起訴案例只有一個，現(xiàn)在還沒有判：浙江一個酒店開發(fā)的酒店Wi-Fi管理、認證系統(tǒng)，因存在漏洞而導(dǎo)致用戶信息泄露，被起訴至法院，前不久剛立案，結(jié)果現(xiàn)在還沒出來。”趙占領(lǐng)介紹。

而大多數(shù)案件都未能走到起訴這一步。

趙占領(lǐng)分析，主要原因在于取證太困難，一般用戶根本沒辦法證明信息是通過哪個渠道泄露的，因為一般用戶的這些信息在很多地方都可以看到的，所以很難證明。唯一的辦法就是等公安機關(guān)立案，查到犯罪嫌疑人，查清到底是哪個渠道泄露的。

他介紹，一旦查清，如果是網(wǎng)站自身或者內(nèi)部員工泄露，刑法修正案(七)有規(guī)定“非法泄露公民個人信息”的犯罪。之前，電信公司和支付寶公司泄露用戶信息的案例就是屬于這種。而如果是網(wǎng)站被動泄露的，情況則如上文所述，更加復(fù)雜。

趙占領(lǐng)認為，現(xiàn)有的法律措施大多是進行事后約束，這并非簡單立法即可解決的問題。

“像目前的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》、侵權(quán)責(zé)任法等都有相關(guān)的規(guī)定，但并不能解決民事賠償中的取證難題，因此也很少有受害者提起訴訟。”趙占領(lǐng)認為，這種困境歸根于我國的電子證據(jù)認定有很大的缺陷。

對于OpenSSL漏洞事件，朱巍提出，如果出現(xiàn)訴訟，一般會形成集體訴訟，但在管轄權(quán)和賠償程度上還有許多難題需要解決。