Cloudflare公司首席技術(shù)官John Graham-Cumming表示,該公司的邊緣服務(wù)器“正在運行超出緩沖區(qū)并返回包含私有信息的內(nèi)存,”并承認(rèn)這個漏洞可能允許任何注意到這個Bug的人收集各種個人的信息,不過這些信息通常是加密或模糊的。
而一些消息表明,這個名為“Cloudbleed”的漏洞可能早在2016年9月22日之前就已經(jīng)十分活躍,而在今年2月13日和2月18日之間最為嚴(yán)重。在這段時間里,每330萬個HTTP請求中約有一個請求使得Cloudflare的網(wǎng)站可能暴露數(shù)據(jù)。而Google公司的Project Zero的安全研究員報告了這個缺陷。
因此,Cloudflare的用戶應(yīng)該及時更改密碼。而Cloudflare公司為超過500萬個網(wǎng)站提供服務(wù),并擁有像Uber和OkCupid公司這樣的大客戶,所以其數(shù)據(jù)泄露的后果可能是毀滅性的。
雖然Cloudflare公司迅速地解決了這個問題,但在約五個月的時間內(nèi)泄露的私人信息可能被實時截獲或留在實時搜索引擎的緩存中。
Cloudflare公司工作人員表示,他們不相信有人利用了這個漏洞。盡管如此,獲得其服務(wù)的用戶可能想改變他們的密碼,以確保帳戶不被損害。而Cloudflare的一些客戶,如Creative Commons和Change.org,已經(jīng)要求其用戶重置密碼,即使他們沒有直接受到影響。
Creative Commons公司內(nèi)容和社區(qū)主管Eric Steuer表示:“因為我們的捐贈者數(shù)據(jù)沒有涉及Cloudflare服務(wù),我們相信不會面臨風(fēng)險。此外,Cloudflare公司已經(jīng)與我們聯(lián)系,并通知我們,我們認(rèn)為可能不會受到泄漏的影響。盡管如此,出于謹(jǐn)慎的考慮,我們?nèi)匀灰笏杏脩糁刂妹艽a。”