BrowserStack是一項(xiàng)可讓開發(fā)人員通過虛擬機(jī)在11種不同操作系統(tǒng)下的700多種瀏覽器中獲得測試其網(wǎng)站能力的服務(wù),價(jià)格從39美元/月到399美元/月不等。據(jù)悉,BrowserStack已經(jīng)擁有2.5萬名客戶,當(dāng)中包括了維基百科、Ubuntu、Adobe、eBay、斯坦福大學(xué)。另外,微軟也開始跟BrowserStack展開合作。
作為BrowserStack服務(wù)的一部分,該家公司承諾,為客戶提供全方面的安全保護(hù),例如防止虛擬機(jī)遭到篡改。然而日前,卻有一名自稱BrowserStack內(nèi)部人員的人向訂閱戶發(fā)送了郵件,告知他們BrowserStack對它在服務(wù)安全上“公然撒了謊”。該名內(nèi)部人員提到了當(dāng)中一些“謊言”的具體內(nèi)容:
1.管理員可監(jiān)視虛擬機(jī);
2.他們沒有安裝防火墻,所使用的“密碼政策非常糟糕”;
3.公司內(nèi)基礎(chǔ)設(shè)施的所有服務(wù)器都使用相同的根密碼且都以明文的形式儲存在虛擬機(jī)中。
該封郵件暗示,所有用戶的數(shù)據(jù)都已經(jīng)被盜,并還特別對BrowserStack的企業(yè)級客戶表達(dá)了道歉之意。
至于該封郵件的內(nèi)容是否完全真實(shí)尚不能做定論。不過一些來自HackerNews的用戶則指出,這封郵件所使用的服務(wù)器跟以往郵件所使用的服務(wù)器并不相同--早前BrowserStack并不會用亞馬遜的SES,而這次卻用了它。
BrowserStack的Twitter賬號也對該攻擊消息給予了肯定,并表示將對此展開調(diào)查。另外,他們還需要暫時(shí)關(guān)閉由其提供的服務(wù)。