开发者社区> 玄学酱> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

“云出血”漏洞凶猛!CloudFlare泄露海量用户信息

简介: 本文讲的是“云出血”漏洞凶猛!CloudFlare泄露海量用户信息,OpenSSL的“心脏出血”让人心有余悸,如今著名的网络服务商CloudFlare又曝出“云出血”漏洞,导致用户信息在互联网上泄露长达数月时间。不过幸运的是,中国用户并未受到此次事故的影响。
+关注继续查看
本文讲的是“云出血”漏洞凶猛!CloudFlare泄露海量用户信息OpenSSL的“心脏出血”让人心有余悸,如今著名的网络服务商CloudFlare又曝出“云出血”漏洞,导致用户信息在互联网上泄露长达数月时间。不过幸运的是,中国用户并未受到此次事故的影响。

云出血漏洞凶猛!CloudFlare泄露海量用户信息

CloudFlare总部位于美国旧金山,是一家成长迅速的网络性能和安全公司,专门为网站提供DDoS安全防护和CDN加速、分析及应用等服务。公开资料显示,2015年每个月经过CloudFlare的网页浏览量就达到一万亿的规模。

据谷歌安全工程师Tavis Ormandy披露,他在上周做一个业余项目时无意中发现,CloudFlare把大量用户数据泄露在谷歌搜索引擎的缓存页面中,包括完整的https请求、客户端IP地址、完整的响应、cookie、密码、密钥以及各种数据。

经过分析,CloudFlare漏洞是一个HTML解析器惹的祸。由于程序员把>= 错误地写成了 ==,导致出现内存泄露的情况。就像OpenSSL心脏出血一样,CloudFlare的网站客户也大面积遭殃,包括优步(Uber)、密码管理软件1password、运动手环公司FitBit等多家企业用户隐私信息在网上泄露。

Tavis Ormandy在推特上表示,他发现了来自各大交友网站的私密信息、来自知名聊天服务网站的完整信息、在线密码管理器的数据、来自成人视频网站的帧以及酒店预订信息。为此谷歌的人在周末加班写工具来清理搜索缓存中的隐私数据。

CloudFlare“云出血”漏洞影响时间是从去年9月到今年218日,漏洞已经得到修复。官方还解释说,HTTPS的私钥并不会因此漏洞而泄露。

在便利化、集中化的云服务领域中,漏洞的威胁能力正逐渐显现。记者采访了去年发现各大虚拟化软件和开源项目上百个漏洞的360Gear Team360研究人员认为,“云出血”漏洞事件给基础服务商的安全性敲响了警钟,因为一旦云端的基础组件或者服务商出现漏洞,会瞬间影响到无数网站和海量用户,云服务领域的安全除了需要有责任的厂商担当外,还需要更有力量的安全行业人员、企业协同保护。

值得一提的是,Tavis Ormandy把如此严重的漏洞报告给CloudFlare,却只得到了一件T恤奖品。基础服务商对自身业务安全性的重视程度亟待提高,否则很难激励白帽子帮助其发现漏洞,而这些漏洞可能正在被恶意的攻击者默默利用。




原文发布时间为:2017年2月25日
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
250万用户敏感信息泄露,Xbox和Playstation论坛已经没有隐私了
本文讲的是250万用户敏感信息泄露,Xbox和Playstation论坛已经没有隐私了,如果你在Xbox360ISO.com和PSPISO.com平台上有开通账户,那么请你赶紧重置密码。原因是,2015年末这两个网站已经被无名黑客入侵,受影响用户的账号信息已经散播至网上。
955 0
专家:警惕手机黑客冒充服务商骗取帐户信息
6月2日消息,大多数人觉得使用手机访问银行帐户的方式是比较安全的,但日前安全专家提醒用户,黑客可能会通过冒充服务商获取用户的机密信息,进而威胁用户的银行帐户安全。 据国外媒体报道,业内人士指出,虽然目前使用手机访问帐户的用户尚在少数,因此风险看上去还不是很大,但是值得注意的是,使用手机网络的用户正在迅速增加。
637 0
+关注
玄学酱
这个时候,玄酱是不是应该说点什么...
文章
问答
文章排行榜
最热
最新
相关电子书
更多
多媒体云公共资源化之后与资源盗用滥用者的攻防
立即下载
如何产生威胁情报-高级恶意攻击案例分析
立即下载
云盾为视频系统筑建安全堡垒
立即下载