Unavezmás, 至少 3.400 個網站的用戶資料已洩露,其中包括 Fitbit、Une 甚至 1Password在此之際,由於Cloudflare有安全漏洞,因此建議立即變更存取密碼。
來自 3.400 多個網站的使用者資料已被 由搜尋引擎過濾和緩存 這是 Cloudflare 中的安全漏洞造成的,Cloudflare 是數千個網站使用的內容交付網路。 幾個月來,Uber、Fitbit 或約會網站 OKCupid 等數以千計的網站受到了影響。 1Password 也使用 Cloudflare,但該公司聲稱,由於其端對端加密,其客戶的資料並未暴露。
導致數十萬用戶資料外洩的安全漏洞
我們個人資料的安全和隱私每天都讓更多的人更加擔憂。 我們在「雲端」中儲存的個人資料越來越多,在大多數情況下,任何人只要知道我們的使用者名稱和密碼就可以存取這些資料。 因此他今天發布的信息尤為嚴重,無論是品質上還是由於它可能影響的用戶量。
通過 已發表 ArsTechnica谷歌安全研究員 Tavis Ormandy 發現,數百萬網站使用的內容交付網路 Cloudflare 存在安全漏洞,導致超過 3.400 個網站的用戶資料被洩露並儲存在搜尋引擎的快取中。
5,5 萬個網站使用的服務可能洩漏了密碼和身份驗證令牌。
奧曼迪看到的數據樣本。 這是來自 okcupid 交友網站的私人訊息 | 圖:ArsTechnica
在這些受影響的網站中,包括像 Fitbit 或 Uber 這樣受歡迎的公司,以及 1Password,但 XNUMXPassword 已經表示,由於端對端加密,其用戶資料仍然安全。
我們觀察到其他使用者對其他主要 cloudflare 託管網站的加密金鑰、cookie、密碼、POST 資料塊,甚至 HTTPS 請求。 一旦我們了解了所看到的情況及其影響,我們立即停止並聯繫了 cloudflare security。
Cloudflare 承認了這個錯誤,但可能低估了其嚴重性
Cloudflare 已經承認確實存在安全漏洞,但 Tavis Ormandy 和其他安全研究人員都認為 該公司低估了事件的嚴重性。 在一個 發表 Cloudflare 在公司部落格上發布了標題為「Cloudflare 解析器錯誤導致記憶體洩漏的事件報告」的文章,承認漏洞非常嚴重,但也指出 沒有證據表明漏洞已被利用.
這個錯誤很嚴重,因為洩漏的記憶體可能包含私人訊息,而且它會被搜尋引擎快取。 我們還沒有發現任何惡意利用該錯誤的證據或其他有關其存在的報告。
奧曼迪並沒有緩慢地提供 答案 該公司聲明稱,Cloudflare 發布的帖子提供了出色的“事後分析”,但同時“大大降低了客戶的風險”。
建議修改密碼
另一位著名安全研究員 Ryan Lackey 同意 Ormandy 的說法,他說: 雖然密碼外洩的機率較低,但存在風險,建議用戶及時更換密碼.
谷歌、必應、雅虎等搜尋引擎已經刪除了快取數據,事實已經公之於眾,但 ArsTechnica 指出一些快取資料仍然存在.