| 公司新聞 |
| 行業(yè)新聞 |
 |
| 您當(dāng)前的位置:網(wǎng)站首頁 ->> 行業(yè)新聞 |
| CDN服務(wù)商被曝信息泄漏,或是互聯(lián)網(wǎng)史上最大的安全事件 | |
| 發(fā)布時間:2017-03-20 08:48:39 點擊:1801 次 | |
| 核心提示: 近日,一個可能影響互聯(lián)網(wǎng)為之一顫的漏洞轟然出現(xiàn),知名云安全服務(wù)商 Cloudflare 被爆泄露用戶 HTTPS 網(wǎng)絡(luò)會話中的加密數(shù)據(jù)長達(dá)數(shù)月,受影響的網(wǎng)站預(yù)計至少200萬之多,其中涉及Uber、1password 等多家知名互聯(lián)網(wǎng)公司的服務(wù)。
近日,一個可能影響互聯(lián)網(wǎng)為之一顫的漏洞轟然出現(xiàn),知名云安全服務(wù)商 Cloudflare 被爆泄露用戶 HTTPS 網(wǎng)絡(luò)會話中的加密數(shù)據(jù)長達(dá)數(shù)月,受影響的網(wǎng)站預(yù)計至少200萬之多,其中涉及Uber、1password 等多家知名互聯(lián)網(wǎng)公司的服務(wù)。 據(jù)了解,Cloudflare 為眾多互聯(lián)網(wǎng)公司提供 CDN、安全等服務(wù),幫助優(yōu)化網(wǎng)頁加載性能。然而由于一個編程錯誤,導(dǎo)致在特定的情況下,Cloudflare 的系統(tǒng)會將服務(wù)器內(nèi)存里的部分內(nèi)容緩存到網(wǎng)頁中。 因此用戶在訪問由 Cloudflare 提供支持的網(wǎng)站時,通過一種特殊的方法,可以隨機獲取來自其他人的會話中的敏感信息。這就好比你在發(fā)郵件時,執(zhí)行一個特定操作就能隨機獲得他人的機密郵件。雖然是隨機獲取,可一旦有心之人反復(fù)利用該方法,就能積少成多就能獲得大量私密數(shù)據(jù)。 聽起來是不是有些像當(dāng)年席卷整個互聯(lián)網(wǎng)的心臟滴血漏洞? 因此也有網(wǎng)友稱此次漏洞為“云滴血”。 可怕的是,該漏洞自首次被Google公司的安全人員發(fā)現(xiàn),至今已有好幾個月。也就是說,在這一期間甚至是在這之前,很可能有不法分子利用該漏洞,造訪了所有 Cloudflare 提供服務(wù)的網(wǎng)站。而 Cloudflare 服務(wù)的互聯(lián)網(wǎng)公司數(shù)量眾多,其中不乏我們所熟知的優(yōu)步(Uber)、OKCupid、Fibit 等等。 漏洞最初是由谷歌 Project Zero 安全團隊的漏洞獵人(國內(nèi)稱白帽子)塔維斯。奧曼迪發(fā)現(xiàn)的,當(dāng)時他在谷歌搜索的緩存網(wǎng)頁中發(fā)現(xiàn)了大量包括加密密鑰、cookie和密碼在內(nèi)的數(shù)據(jù)。于是他很快告知Cloudflare , Cloudflare 派出團隊來處理此事,結(jié)果發(fā)現(xiàn)導(dǎo)致問題的幾個重要操作分別發(fā)生在數(shù)天和數(shù)月之前。 有趣的是,漏洞發(fā)現(xiàn)者奧曼迪在帖子中特別提到,Cloudflare 的漏洞賞金最高只獎勵一件T恤。因此有網(wǎng)友開玩笑地表示: 據(jù)說是Google的人先把這個問題報告給Cloudflare,但只被獎勵了一件T恤,然后就在推特公開… 來源:中國IDC圈 石家莊服務(wù)器托管 石家莊服務(wù)器租用 石家莊機柜租用 石家莊機房 |
|
| 上一條: 服務(wù)器升級做好準(zhǔn)備太重要了!考慮哪些要點值得提及 下一條: 微軟爆發(fā)性云存儲故障 殃及全球26個數(shù)據(jù)中心 | |
| 【關(guān)閉窗口】 |
