据外媒 TheVerge 报道,知名网络优化服务(CDN)提供商 CloudFlare 最近遭遇了一起严重的泄露事件,包括 cookies、API 键值、以及密码等在内的许多敏感个人信息被曝光。

另据昨晚一篇博文的详细披露,该公司为数百上千万个互联网站点提供 SSL 加密。虽然 CloudFlare 当前暂未证实这批信息被恶意利用,但搜索引擎上的部分缓存又是另一个问题。

cloud.0.png

2 月 18 号的时候,在谷歌 Project Zero 安全小组工作的 Travis Ormandy 最先在 Twitter 上爆料了此事。但实际上,这个缺陷或许可以追溯至去年 9 月 22 号。

CloudFlare 表示,规模最大的一次信息泄露始于 2 月 13 日,当时发生的代码异动表明每秒 3,300,300 次的 HTTP 请求可能导致了内存溢出。

20170224 Tavis Ormandy - Twitter.jpg

在被缓存的数据中,Ormandy 看到了某约会站点上的预订酒店和密码等完整信息。他在 2 月 19 号写到

我不知道 CloudFlare 背后究竟有多少互联网站点,直到发生了这件事。这包括完整的 https 请求、客户端 IP 地址、完整的响应、cookies、密码、键值、日期等一切内容。

在 Ormandy 发布了推文之后,CloudFlare 工程师禁用了导致出现问题的三项功能代码,并与搜索引擎方携手清理缓存信息。

【伯乐在线补充】:受影响的站点非常之多,光知名网站就有下面这些:

  • authy.com
  • coinbase.com
  • bitcoin.de
  • betterment.com
  • transferwise.com
  • prosper.com
  • patreon.com
  • bitpay.com
  • news.ycombinator.com
  • producthunt.com
  • medium.com
  • 4chan.org
  • yelp.com
  • okcupid.com
  • uber.com
  • poloniex.com
  • localbitcoins.com
  • kraken.com
  • 23andme.com
  • counsyl.com
  • tfl.gov.uk
  • account.leagueoflegends.com
  • myaccount.nytimes.com
  • technicpack.net
  • cloudflare.com

其他网站,更是数不胜数。已经有网友在 GitHub 汇总了列表:

https://github.com/pirate/sites-using-cloudflare/blob/master/README.md

泄露事件发生后,CloudFlare 联系搜索引擎厂商清除信息,不过还有网友在 HN 上反馈 Bing 和 Yahoo 中仍有敏感信息的缓存。

7 收藏


直接登录

推荐关注