一次心脏滴血漏洞的bug处理过程

一个p2p平台，一次内部安全事件的处理过程，一个关乎投资人利益的网络投资平台，一个无知者无畏的年代。口口声声对外宣称安全、可靠、高收益、……

[步骤]

1、对应用https的系统进行ssl协议已公开漏洞进行扫描
2、发现当前系统存在心脏滴血漏洞

[结果]

该漏洞可以直接泄漏内存信息，在本系统中泄露使用ssl协议系统的操作内存数据

如：用户登录信息

[期望]

对该漏洞进行修补

附件
历史记录
2016-03-16 21:57:22, 由 xxx 创建。

2016-03-17 09:56:01, 由 xx 确认Bug。

线上系统是存在openssl版本较低的情况，但出于对系统稳定和应用稳定的角度考虑以及参考阿里云云盾的分析。对此问题暂不予以解决。
涉及到的问题：
第一：更新openssl需要相关的服务重启，影响全部线上业务
第二：对于此openssl版本较低引起的心脏滴血漏洞阿里云云盾并未检测到
第三：此心脏滴血漏洞涉及不到对数据库和服务器安全构成威胁

2016-04-02 02:57:59, 由 xx 解决，方案为延期处理。

2016-04-05 18:46:28, 由 xxx 激活。

不予解决的三个理由我不赞成，再次激活该bug是以安全的角度考虑的，你可以再次回复不予解决。
1、任何一次小的迭代上线都会影响全部线上业务，所以此理由不成立
2、阿里云没有检测到不代表不存在安全风险，所以此理由不成立
3、不对数据库和服务器构成安全威胁就不予解决，此回答太过轻浮，也是对投资用户的不负责
总结：因为该bug可以随机性泄漏内存中的64k信息，可以通过手工快速或脚本的方式进行内存信息获取，理论可以获取所有重要的信息，包括openvpn中的证书信息，进而控制服务器或数据库，而获取用户信息只是最简单的利用方式及危害展示，请对安全给予足够的重视和专业的审核态度。

另：我已通过该bug获取过线上不止10人的信息，并登录成功个人帐户，同时该平台提交过多处的明文信息的小bug，也同样被同时回复不予解决，结合该bug，我已获取多个人的账户、密码、手机号、身份证号、银行卡号，该结果可否提高你对该bug的重视！！！