[[184224]]

日前，一名谷歌研究人員發(fā)現(xiàn)了一起令人擔(dān)憂的網(wǎng)站信息泄漏事件，涉及大量密碼、私人通信和敏感數(shù)據(jù)，受損的不乏Uber、FitBit和OKCupid等大型科技公司，這可能是2017年開年以來最嚴(yán)重的一起泄漏事件。

由于出現(xiàn)漏洞的是頗受歡迎的科技公司CloudFlare，許多人戲稱這一事件為“CloudBleed”。這起因代碼問題引起的危機(jī)和臭名昭著的2015年Heartbleed漏洞并無二致，后一起事件涉及200多萬個網(wǎng)站，任何人都能讀取系統(tǒng)的運(yùn)行內(nèi)存。

要命的是，搜索引擎居然在緩存這些泄漏信息。此外，CloudFlare往往通過同一臺服務(wù)器來管理不同站點(diǎn)的內(nèi)容，因此，當(dāng)惡意人士請求獲取一個網(wǎng)站的信息時，其他網(wǎng)站的信息也會被泄露。

“比方說，你瀏覽的是Uber的頁面，但收到了okcupid.com的信息。”Pen Test Partners的白帽黑客Andrew Tierney說道，“任何人都可以獲取這些敏感數(shù)據(jù)，甚至無需主動攻擊。我媽媽可能僅僅因?yàn)榈巧狭薈loudFlare的網(wǎng)站而收到別人瀏覽器緩存中的登錄密碼。”

著名的谷歌bug獵手Tavis Ormandy首先發(fā)現(xiàn)了這個問題，并在2月17日通報(bào)給了CloudFlare。在其模擬攻擊中，他收到了服務(wù)器“送來”的加密密鑰、密碼，甚至其他用戶的HTTPS請求。

在之后的一篇博文中，Tavis發(fā)現(xiàn)，這個問題變得越發(fā)嚴(yán)重。“我發(fā)現(xiàn)主流相親網(wǎng)站上的私人信件、在線密碼管理者數(shù)據(jù)、成人網(wǎng)站的框架、酒店預(yù)訂信息等等，所有的HTTPS請求、客戶IP地址、全部的回復(fù)、數(shù)據(jù)包、密碼、密鑰、數(shù)據(jù)都被泄漏了。”

Ormandy說，CloudFlare后來給他發(fā)來了一封信，把“這一漏洞給用戶帶來的風(fēng)險(xiǎn)說得輕描淡寫”。不過，對于該公司在本周四發(fā)表的最終公告，Ormandy并未作更多評價。在這份公告中，CloudFlare表示：“這一漏洞非常嚴(yán)重，因?yàn)槲覀冎浪孤┑膬?nèi)容包括私人信息，這些信息甚至被搜索引擎緩存了下來。與此同時，我們并未發(fā)現(xiàn)任何惡意鉆這一漏洞的人士，也沒有更多有關(guān)該漏洞的匯報(bào)。”

“該漏洞的關(guān)鍵影響期在2月13日至2月18日，在每330萬個HTTP請求中，會有1個請求遇到信息泄漏的狀況(也就是說泄漏發(fā)生的概率為0.00003%)。”該公司承認(rèn)，最早的數(shù)據(jù)泄漏可能出現(xiàn)在2016年9月22日。

目前，眾多CloudFlare上的網(wǎng)站內(nèi)容已經(jīng)上傳到了GitHub，不過我們并不清楚哪些網(wǎng)站的信息遭到了泄露。上傳GitHub列表的人士表示，建議所有使用CloudFlare服務(wù)的公司的用戶更改密碼，以防萬一。