Cloudflare“云滴血”漏洞,疑致数百万网站数据泄露
发布日期:2017-02-27谷歌研究人员发现并报告了Cloudflare的一起严重数据泄露事件,可导致用户随机获取他人会话中的敏感信息,这一缺陷可追溯到2016年9月份,数据泄露已长达数月,受影响的网站预计至少200万之多,Uber、Fitbit、OKCupid等大型科技公司均可能受此缺陷影响。
Cloudflare为众多互联网公司提供CDN、安全等服务,帮助优化网页加载性能。然而由于一个编程错误,导致在特定的情况下,Cloudflare的系统会将服务器内存里的部分内容缓存到网页中。用户访问Cloudflare支持的网站时,可以随机获取来自他人会话中的敏感内容,更为严重的是,搜索引擎居然在缓存这些泄漏信息。
来自Google Project Zero团队的研究人员Tavis Ormandy,首次发现该问题,Tavis Ormandy于2月17日向Cloudflare报告了此安全问题,并于2月18日在Twitter爆料。Tavis Ormandy称,在其模拟攻击中他收到了服务器“送来”的加密密钥、密码,甚至其他用户的HTTPS请求。“我发现主流相亲网站上的私人信件、在线密码管理者数据、成人网站的框架、酒店预订信息等等,所有的HTTPS请求、客户IP地址、全部的回复、数据包、密码、密钥、数据都被泄漏了。”
2月23日,Cloudflare在其事件报告中承认此事,并表示导致该缺陷的三个功能(电子邮件混淆,服务器端排除和自动HTTPS重写)已经被关闭,目前已联合搜索引擎删除缓存的泄露信息。“该漏洞的关键影响期在2月13日至2月18日,在每330万个HTTP请求中,会有1个请求遇到信息泄漏的状况(也就是说泄漏发生的概率为0.00003%)。”
由于Cloudflare这起安全事件与2015年的“心脏滴血”漏洞类似,因此被网友戏称为“CloudBleed(云滴血)”。虽然Cloudflare声称尚未发现任何证据表明该漏洞被恶意利用, 但业内人士建议所有使用CloudFlare服务的公司用户更改密码,以防万一。
消息来源:互联网