尊敬的动联客户：

近日的新闻报道了开源软件OpenSSL存在漏洞，国内某些电商企业受到影响且承认存在该漏洞。随之而来也出现了一些关于该软件漏洞的不实之词，不仅影响到了电商企业，包括一些金融系统/商业银行也受到关联，甚至怀疑到网银系统广泛使用的动态令牌和U盾等身份安全产品，出现了千万不可用U盾或动态令牌交易，48小时内不上网银等传言。为此，作为国内领先的身份认证安全厂家，动联公司特别对此次事件所披露的漏洞以及此漏洞对动联令牌类产品的安全影响说明如下：

首先，这次公布的漏洞并不是广泛用于网上信息安全的SSL协议的漏洞，而是用来实现SSL协议的开源软件：OpenSSL存在漏洞，并且这个漏洞只存在于OpenSSL特定协议版本（1.0.1）中，某些电商企业使用的正是这个系列的版本。银行的网银确实都使用了SSL协议，网银系统均使用商业级的SSL设备（较多采用的是Verisign SSL），基本不会采用开源软件实现，即使有这个系列版本也不会应用到网银系统中，我们可以借助查看证书得知客户采用的SSL协议，见截图。

其次，我们也可以借助第三方测试网站来测试客户网银系统有无存在SSL漏洞，见截图。

第三，SSL漏洞是利用缓冲区溢出机制来直接读取内存中的明文信息，如果网站使用了带有该漏洞的OpenSSL开源软件版本，是会有一定的影响。但是这个漏洞与动态令牌的安全性没有什么联系，因为动态令牌应用很简洁，而且令牌本身就无任何物理接口，产生的动态口令也是借助于内置的国密SM3算法芯片加密产生，在用户在网银输入动态口令时，网银系统的SSL协议将动态口令进行加密，传输到网银系统后再进行解密，再与后台服务器产生的动态口令进行比对，核对无误后从而验证用户的身份合法性。因此，对于网银用户，OpenSSL的漏洞对动态令牌在网银系统中的使用安全性没有必然影响，完全可以放心使用。

此次事件对于较多采用OpenSSL的电商网站存在一定影响，比如电商虚拟帐户的资金安全性等，而用户在这些网站的网银支付基本是跳转到银行的支付网关或网银支付页面，因此通过网银方式来支付的用户的安全性是得以保障的。据悉，目前各大电商网站正在积极修复此漏洞，动联也将及时关注这些安全动态并及时通报。

                                                                    特此通报
                                                        上海动联信息技术股份有限公司
                                                                  2014.4.10