数百万网站数据泄露长达数月,这也许是史上最大的云安全事故

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全基线管理CSPM免费试用,1000次1年
云安全中心漏洞修复资源包免费试用,100次1年
简介:
 
    

数百万网站数据泄露长达数月,这也许是史上最大的云安全事故


今日(2月24日),一个可能影响互联网为之一颤的漏洞轰然出现,知名云安全服务商 Cloudflare 被爆泄露用户 HTTPS 网络会话中的加密数据长达数月,受影响的网站预计至少200万之多,其中涉及Uber、1password 等多家知名互联网公司的服务。

据雷锋网(公众号:雷锋网)了解,Cloudflare 为众多互联网公司提供 CDN、安全等服务,帮助优化网页加载性能。然而由于一个编程错误,导致在特定的情况下,Cloudflare 的系统会将服务器内存里的部分内容缓存到网页中。

因此用户在访问由 Cloudflare 提供支持的网站时,通过一种特殊的方法,可以随机获取来自其他人的会话中的敏感信息。这就好比你在发邮件时,执行一个特定操作就能随机获得他人的机密邮件。虽然是随机获取,可一旦有心之人反复利用该方法,就能积少成多就能获得大量私密数据。

数百万网站数据泄露长达数月,这也许是史上最大的云安全事故

听起来是不是有些像当年席卷整个互联网的心脏滴血漏洞?(可见于:《曾席卷全球的“心脏滴血“漏洞,三年后仍存在于近20万设备中》) 因此也有网友称此次漏洞为“云滴血”。

可怕的是,该漏洞自首次被Google公司的安全人员发现,至今已有好几个月。也就是说,在这一期间甚至是在这之前,很可能有不法分子利用该漏洞,造访了所有 Cloudflare 提供服务的网站。而 Cloudflare 服务的互联网公司数量众多,其中不乏我们所熟知的优步(Uber)、OKCupid、Fibit 等等。

漏洞最初是由谷歌 Project Zero 安全团队的漏洞猎人(国内称白帽子)塔维斯·奥曼迪发现的,当时他在谷歌搜索的缓存网页中发现了大量包括加密密钥、cookie和密码在内的数据。于是他很快告知Cloudflare , Cloudflare 派出团队来处理此事,结果发现导致问题的几个重要操作分别发生在数天和数月之前。

有趣的是,漏洞发现者奥曼迪在帖子中特别提到,Cloudflare 的漏洞赏金最高只奖励一件T恤。因此有网友开玩笑地表示:

据说是Google的人先把这个问题报告给Cloudflare,但只被奖励了一件T恤,然后就在推特公开…

  

本文作者: 谢幺

本文转自雷锋网禁止二次转载, 原文链接
目录
相关文章
|
Web App开发 云安全 安全
前Google员工推云安全服务检测网站挂马
  北京时间6月17日消息,安全新创公司Dasient本周二推出了一个基于云的安全服务,旨在检测网站是否存在恶意软件,并将其进行隔离。   Dasient的三个联合创始人包括两个前Google员工:前Google安全产品经理Neil Daswani和软件工程师Shariq Rizvi,以及曾就职于麦肯锡和惠普的Ameet Ranadive。
699 0
|
1月前
|
云安全 人工智能 自然语言处理
用AI来做云安全是怎样一种体验?阿里云安全AI能力大曝光
阿里云内容安全大模型获CSA安全金盾奖
1049 2
|
1月前
|
云安全 安全 数据安全/隐私保护
带你读《阿里云安全白皮书》(十八)——云上安全重要支柱(12)
随着数智化发展,企业面临复杂的资产管理需求。阿里云提供全链路身份管控与精细化授权方案,涵盖细粒度权限管理和身份凭证保护,确保数据资产安全。支持多因素认证和最小权限原则,减少风险暴露,提升企业安全效率。详情见《阿里云安全白皮书(2024版)》。
|
1月前
|
云安全 安全 网络安全
带你读《阿里云安全白皮书》(十一)——云上安全重要支柱(5)
阿里云通过内部红蓝对抗体系,常态化模拟真实场景下的APT攻击,持续提升平台安全性。蓝军团队采用MITRE ATT&CK框架,系统模拟外部攻击,红军团队则进行持续防守。整个过程包括攻击规划、执行和复盘修复阶段,确保及时发现并修复安全漏洞,提升整体防御水平。
|
1月前
|
存储 云安全 人工智能
带你读《阿里云安全白皮书》(二十四)——云上安全建设最佳实践(2)
本文介绍了阿里云在AI大模型云上安全方面的最佳实践,涵盖数据安全、模型安全、内容安全和合规性四大关键挑战。阿里云通过数据加密、私有链接传输、机密计算等技术手段,确保数据和模型的安全性;同时,提供内容安全检测、Prompt问答护栏等功能,保障生成内容的合法合规。此外,阿里云还帮助企业完成算法及模型备案,助力客户在AI大模型时代安全、合规地发展。
|
1月前
|
云安全 安全 数据可视化
带你读《阿里云安全白皮书》(十二)——云上安全重要支柱(6)
阿里云构建了7x24小时全自动化红蓝对抗平台,通过深度整合内外部攻防案例,进行高频次、自动化的演练,提升对复杂攻击的应对能力,确保安全防护体系持续优化。平台具备全自动化演练、随机性与多样化、可视化输出、节点负载智能控制、日志追踪与审计、应急场景秒级熔断等特性,确保演练过程稳定高效。
|
1月前
|
存储 云安全 安全
带你读《阿里云安全白皮书》(二十一)——云上安全重要支柱(15)
阿里云安全白皮书(2024版)详细介绍了其在面对线上威胁时的快速响应与恢复能力。通过一体化的安全运营能力,阿里云帮助客户在极端威胁下快速感知、响应风险并恢复数据及服务。白皮书还涵盖了全面的资产梳理、及时的威胁情报分析、高效的风险识别与治理、专业的安全服务等内容,旨在为企业提供全方位的安全保障。
|
1月前
|
云安全 存储 运维
带你读《阿里云安全白皮书》(十七)——云上安全重要支柱(11)
阿里云提供了《阿里云安全白皮书(2024版)》,介绍客户数据安全保护技术能力。针对敏感行业,阿里云推出了专属区域和云盒两种形态,确保数据本地存储和合规要求,同时提供标准的公有云产品。此外,阿里云数据安全中心提供敏感数据识别、细粒度数据审计、数据脱敏/列加密、数据泄露检测与防护等四大功能,全面保障数据安全。
|
1月前
|
云安全 安全 测试技术
带你读《阿里云安全白皮书》(十三)——云上安全重要支柱(7)
阿里云通过全方位红蓝对抗反向校验,引入国内外优秀的第三方渗透测试服务,确保云平台及产品的安全性达到国际领先水平。同时,通过外部安全生态建设,与白帽社区合作,建立阿里安全响应中心(ASRC)和先知平台,提升整体安全水位。

热门文章

最新文章