Cloudflare公司承認(rèn)客戶數(shù)據(jù)泄露已有數(shù)月

責(zé)任編輯:cres

作者:HERO編譯

2017-03-02 10:01:59

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

總部位于舊金山的Cloudflare公司日前宣布,幾個月來,其邊緣服務(wù)器泄露了一些敏感數(shù)據(jù),其中包括客戶密碼,cookie和身份驗證令牌。

總部位于舊金山的Cloudflare公司日前宣布,幾個月來,其邊緣服務(wù)器泄露了一些敏感數(shù)據(jù),其中包括客戶密碼,cookie和身份驗證令牌。CloudFlare公司主要為客戶提供網(wǎng)站安全管理、性能優(yōu)化及相關(guān)的技術(shù)支持等業(yè)務(wù)。
 
Cloudflare公司首席技術(shù)官John Graham-Cumming表示,該公司的邊緣服務(wù)器“正在運行超出緩沖區(qū)并返回包含私有信息的內(nèi)存,”并承認(rèn)這個漏洞可能允許任何注意到這個Bug的人收集各種個人的信息,不過這些信息通常是加密或模糊的。
 
而一些消息表明,這個名為“Cloudbleed”的漏洞可能早在2016年9月22日之前就已經(jīng)十分活躍,而在今年2月13日和2月18日之間最為嚴(yán)重。在這段時間里,每330萬個HTTP請求中約有一個請求使得Cloudflare的網(wǎng)站可能暴露數(shù)據(jù)。而Google公司的Project Zero的安全研究員報告了這個缺陷。
 
因此,Cloudflare的用戶應(yīng)該及時更改密碼。而Cloudflare公司為超過500萬個網(wǎng)站提供服務(wù),并擁有像Uber和OkCupid公司這樣的大客戶,所以其數(shù)據(jù)泄露的后果可能是毀滅性的。
 
雖然Cloudflare公司迅速地解決了這個問題,但在約五個月的時間內(nèi)泄露的私人信息可能被實時截獲或留在實時搜索引擎的緩存中。
 
Cloudflare公司工作人員表示,他們不相信有人利用了這個漏洞。盡管如此,獲得其服務(wù)的用戶可能想改變他們的密碼,以確保帳戶不被損害。而Cloudflare的一些客戶,如Creative Commons和Change.org,已經(jīng)要求其用戶重置密碼,即使他們沒有直接受到影響。
 
Creative Commons公司內(nèi)容和社區(qū)主管Eric Steuer表示:“因為我們的捐贈者數(shù)據(jù)沒有涉及Cloudflare服務(wù),我們相信不會面臨風(fēng)險。此外,Cloudflare公司已經(jīng)與我們聯(lián)系,并通知我們,我們認(rèn)為可能不會受到泄漏的影響。盡管如此,出于謹(jǐn)慎的考慮,我們?nèi)匀灰笏杏脩糁刂妹艽a。”

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號