导语:OpenSSL的“心脏出血”让人心有余悸,如今著名的网络服务商CloudFlare又曝出“云出血”漏洞,导致用户信息在互联网上泄露长达数月时间。不过幸运的是,中国用户并未受到此次事故的影响。
OpenSSL的“心脏出血”让人心有余悸,如今著名的网络服务商CloudFlare又曝出“云出血”漏洞,导致用户信息在互联网上泄露长达数月时间。不过幸运的是,中国用户并未受到此次事故的影响。
CloudFlare总部位于美国旧金山,是一家成长迅速的网络性能和安全公司,专门为网站提供DDoS安全防护和CDN加速、分析及应用等服务。公开资料显示,2015年每个月经过CloudFlare的网页浏览量就达到一万亿的规模。
据谷歌安全工程师Tavis Ormandy披露,他在上周做一个业余项目时无意中发现,CloudFlare把大量用户数据泄露在谷歌搜索引擎的缓存页面中,包括完整的https请求、客户端IP地址、完整的响应、cookie、密码、密钥以及各种数据。
经过分析,CloudFlare漏洞是一个HTML解析器惹的祸。由于程序员把>= 错误地写成了 ==,导致出现内存泄露的情况。就像OpenSSL心脏出血一样,CloudFlare的网站客户也大面积遭殃,包括优步(Uber)、密码管理软件1password、运动手环公司FitBit等多家企业用户隐私信息在网上泄露。
Tavis Ormandy在推特上表示,他发现了来自各大交友网站的私密信息、来自知名聊天服务网站的完整信息、在线密码管理器的数据、来自成人视频网站的帧以及酒店预订信息。为此谷歌的人在周末加班写工具来清理搜索缓存中的隐私数据。
CloudFlare“云出血”漏洞影响时间是从去年9月到今年2月18日,漏洞已经得到修复。官方还解释说,HTTPS的私钥并不会因此漏洞而泄露。
在便利化、集中化的云服务领域中,漏洞的威胁能力正逐渐显现。记者采访了去年发现各大虚拟化软件和开源项目上百个漏洞的360Gear Team。360研究人员认为,“云出血”漏洞事件给基础服务商的安全性敲响了警钟,因为一旦云端的基础组件或者服务商出现漏洞,会瞬间影响到无数网站和海量用户,云服务领域的安全除了需要有责任的厂商担当外,还需要更有力量的安全行业人员、企业协同保护。
值得一提的是,Tavis Ormandy把如此严重的漏洞报告给CloudFlare,却只得到了一件T恤奖品。基础服务商对自身业务安全性的重视程度亟待提高,否则很难激励白帽子帮助其发现漏洞,而这些漏洞可能正在被恶意的攻击者默默利用。