主页 > B素生活 >CloudFlare遭滴血攻击:如果你注册这些网站,请立即修 >

CloudFlare遭滴血攻击:如果你注册这些网站,请立即修

2020-06-06
阅读指数:632
CloudFlare遭滴血攻击:如果你注册这些网站,请立即修
CloudFlare 不太在乎的态度惹恼了不少使用者

本文原刊于合作媒体 tech2ipo,INSIDE 授权转载

国外着名的网页防火墙及代理伺服器 CloudFlare 近期被曝光存在重大「滴血攻击」漏洞,200 多万网站受此影响,其中不乏 Uber、Medium、4Chan、Yelp、海盗湾、feedly 等巨量使用者数的网站。据初步统计,至少 2 亿使用者被此事波及,需要及时修改密码。2015 年时,CloudFlare 曾获微软、Google、高通高达 1.1 亿美元的投资。

作为被全世界站长界最出名的网页防火墙及代理伺服器,CloudFlare 上运行着 550 多万个网站,但是因为公司的三个服务 email obfuscation、Server-side Excludes、Automatic HTTPS Rewrites存在「滴血攻击」漏洞,只要骇客利用这个漏洞进行攻击就可以获得同一伺服器上其他网站的暂存讯息,进而导致资讯洩露。这个漏洞最早被 Google 安全团队发现,在 2 月 18 日他们就发出了安全警告,很快 CloudFlare 就修复了漏洞并给出了原因解释,「每 330 万个 https 请求中就有一次攻击行为,有可能导致资讯洩露。」

发现这 bug 的 Google 专家表示,「通过测试,主流交友网站的私人邮件、密码数据库、成人网站构架、饭店预订资讯等数据都可以被骇客抓取,使用者的资讯、密码等数据都可以被洩露。」

虽然到现在为止 CloudFlare 没有公布具体的受波及网站名单,但已经有不少网站主动发声明要求使用者及时更改密码。已经有 GitHub 使用者公布了可能已经被这漏洞攻击过的网站名单,网站数量高达 427 万个。

CloudFlare 在声明中还表示,「到目前为止还没有发现有人恶意使用这漏洞的情况。」虽然也没有网站对外宣布使用者资讯洩露的情况,但漏洞曝光之前的攻击行为可能已经导致不少使用者资讯洩露。而且在 CloudFlare 上,有不少巨量使用者级的网站,建议各位如果在以下主流网站有建立帐号的话,请及时修改密码!

CloudFlare 不太在乎的态度也惹恼了不少使用者,在 CloudFlare 最初的回应中,对漏洞的影响描写地极其轻微,随后又承认漏洞在 2016 年 9 月 22 日就出现。在许多网站已经主动邀请使用者修改密码的时候,CloudFlare 依旧表示没人反馈回报漏洞、没有发现恶意使用现象。

相关阅读: