Facebook加入
LINE加入
2021/12/25
今日(2月24日),一個可能影響互聯網為之一顫的漏洞轟然出現,知名雲安全服務商 Cloudflare 被爆泄露用戶 HTTPS 網路會話中的加密數據長達數月,受影響的網站預計至少200萬之多,其中涉及Uber、1password 等多家知名互聯網公司的服務。
據雷鋒網了解,Cloudflare 為眾多互聯網公司提供 CDN、安全等服務,幫助優化網頁載入性能。然而由於一個編程錯誤,導致在特定的情況下,Cloudflare 的系統會將伺服器內存里的部分內容緩存到網頁中。
因此用戶在訪問由 Cloudflare 提供支持的網站時,通過一種特殊的方法,可以隨機獲取來自其他人的會話中的敏感信息,哪怕這些數據受到HTTPS的保護。這就好比你在發郵件時,執行一個特定操作就能隨機獲得他人的機密郵件。雖然是隨機獲取,可一旦有心之人反覆利用該方法,就能積少成多就能獲得大量私密數據。
聽起來是不是有些像當年席捲整個互聯網的心臟滴血漏洞?(可見於:《曾席捲全球的「心臟滴血「漏洞,三年後仍存在於近20萬設備中》) 因此也有網友稱此次漏洞為「雲滴血」。
可怕的是,該漏洞自首次被Google公司的安全人員發現,至今已有好幾個月。也就是說,在這一期間甚至是在這之前,很可能有不法分子利用該漏洞,造訪了所有 Cloudflare 提供服務的網站。而 Cloudflare 服務的互聯網公司數量眾多,其中不乏我們所熟知的優步(Uber)、OKCupid、Fibit 等等。
漏洞最初是由谷歌 Project Zero 安全團隊的漏洞獵人(國內稱白帽子)塔維斯·奧曼迪發現的,當時他在谷歌搜索的緩存網頁中發現了大量包括加密密鑰、cookie和密碼在內的數據。於是他很快告知Cloudflare , Cloudflare 派出團隊來處理此事,結果發現導致問題的幾個重要操作分別發生在數天和數月之前。
有趣的是,漏洞發現者奧曼迪在帖子中特別提到,Cloudflare 的漏洞賞金最高只獎勵一件T恤。因此有網友開玩笑地表示:
據說是Goole的人先把這個問題報告給Cloudflare,但只被獎勵了一件T恤,然後就在推特公開…
熱門推薦
留言回覆
