Unavezmás, 来自至少3.400个网站(包括Fitbit,Une和多达1Password)的用户数据已公开,这一次是由于Cloudflare安全漏洞,因此建议立即更改访问密码。
来自3.400多个网站的用户数据 由搜索引擎过滤和缓存 由于Cloudflare(一个数以千计的网站使用的内容分发网络)中的安全漏洞所致。 几个月来,Uber,Fitbit或数以千计的约会网站OKCupid等网站都受到了影响。 1Password还使用Cloudflare,但是该公司声称由于采用了端到端加密,因此尚未公开其客户的数据。
暴露数十万用户数据的安全漏洞
我们的个人数据的安全性和隐私性每天都越来越受到人们的关注。 在大多数情况下,仅通过知道我们的用户名和密码,我们就可以将越来越多的个人数据存储在“云”中,任何人都可以访问。 因此我今天发布的信息特别严重,无论是从质量上还是从可能影响的用户数量上来讲。
通过 已发表 ArsTechnica,Google安全研究员Tavis Ormandy发现,数百万网站使用的内容分发网络Cloudflare中的一个安全漏洞已使来自3.400多个网站的用户数据泄漏并存储在搜索引擎的缓存中。
5,5万个网站使用的服务可能泄露了密码和身份验证令牌。
Ormandy看到的数据样本。 这是来自约会网站okcupid的私人消息| 图像:ArsTechnica
在那些受影响的网站中,有一些受欢迎的公司,例如Fitbit或Uber以及1Password,但是它们已经表示,由于端到端加密,其用户数据仍然安全。
我们已经看到其他用户对其他由cloudflare托管的顶级站点的加密密钥,cookie,密码,POST块,甚至HTTPS请求。 一旦了解了所见内容及其含义,我们便立即停止并联系了cloudflare安全性。
Cloudflare承认该缺陷,但可能低估了其严重性
Cloudflare已经承认确实存在安全漏洞,但是Tavis Ormandy和其他安全研究人员都认为 该公司低估了事件的严重性。 在一个 发表 Cloudflare在公司博客上的标题为“有关Cloudflare解析器错误导致的内存泄漏的事件报告”下发布,他承认该漏洞是严重的,但也指出 没有证据表明该漏洞已被利用.
该错误非常严重,因为泄漏的内存可能包含私人信息,并且由于它已经被搜索引擎缓存了。 我们还没有发现任何对该漏洞的恶意利用或其存在的其他报告的证据。
Ormandy很快提供了一个 respuesta 该公司的说法是,Cloudflare发布的帖子提供了出色的分析“事后调查”,但同时“却大大降低了客户的风险”。
建议更改密码
另一位著名的安全研究员Ryan Lackey同意Ormandy的声明,他说, 尽管暴露密码的可能性很低,但是存在这种风险,因此建议用户更改密码.
Google,Bing,Yahoo和其他搜索引擎已经在清除缓存的数据,因此现在已经公开了事实,但是 ArsTechnica指出,仍然保留了一些缓存的数据.