回归最本质的信息安全

云出血(Cloudbleed):各知名互联网品牌泄露用户密钥和敏感信息

2017年2月24日发布

7,642
1
0

导语:谷歌安全研究员发现了一个 Cloudflare漏洞,导致各大知名互联网品牌泄露了大量用户私人会话密钥和个人信息。

shutterstock_shock_horror.jpg

谷歌安全研究员发现了一个 Cloudflare漏洞,导致各大知名互联网品牌泄露了大量用户私人会话密钥和个人信息。

CloudFlare是一家美国的跨国科技企业,总部位于旧金山,在英国伦敦亦设有办事处。CloudFlare以向客户提供网站安全管理、性能优化及相关的技术支持为主要业务。通过基于反向代理的内容传递网络(ContentDeliveryNetwork,CDN)及分布式域名解析服务(DistributedDomainNameServer),CloudFlare可以帮助受保护站点抵御包括拒绝服务攻击(DenialofService)在内的大多数网络攻击,确保该网站长期在线,同时提升网站的性能、访问速度以改善访客体验。

目前使用这一服务的公司有Uber,OK Cupid,Fitbit。但不幸的是,当用户访问任何由CloudFlare托管的网站时,都会强制泄露这些用户的敏感信息。这就好比一个场景:你正坐在一家餐厅内,服务员在递给你菜单的同时也递给了你前面一位用餐者的菜单和钱包。

当页面上出现混乱HTML标签特殊组合时就会触发该问题,从而会使CloudFlare代理服务器混乱,泄露其他人的数据,即使这些数据已经由https保护着也无济于事。

google_cloudbleed_fitbit.jpg

时间线

这一问题最初是被谷歌Project Zero团队的Tavis Ormandy发现的,在进行日常工作过程中,他发现浏览器的缓存中有大量的数据,包括会话和API密钥、cookies、密码等。

为了深入研究这一问题,我周末选择了加班。与此同时,我已经通知了Cloudflare这一问题的存在。深入挖掘我发现了更多敏感信息,包括https请求、用户IP地址、cookies、密码、密钥、数据等。

周四下午,Cloudflare发布了这一事件的应急报告:是Cloudflare Email Obfuscation,Server-Side Excludes,Automatic HTTPS Rewrites功能的问题。Cloudflare称从日志中可以看出,数据泄露时间发生在2月13日到18日期间,每3,300,000个请求中就会出现一次泄露。

本文参考来源于theregister,如若转载,请注明来源于嘶吼: http://www.4hou.com/info/3496.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

張奕源Nick

張奕源Nick

嘶吼编辑

发私信

发表评论

    蔡宁宁
    蔡宁宁 2017-02-24 15:33

    据说里面有1password….