OpenSSL的“心臟出血”讓人心有余悸,如今著名的網(wǎng)絡(luò)服務(wù)商CloudFlare又曝出“云出血”漏洞,導(dǎo)致用戶信息在互聯(lián)網(wǎng)上泄露長(zhǎng)達(dá)數(shù)月時(shí)間。不過(guò)幸運(yùn)的是,中國(guó)用戶并未受到此次事故的影響。
CloudFlare總部位于美國(guó)舊金山,是一家成長(zhǎng)迅速的網(wǎng)絡(luò)性能和安全公司,專門為網(wǎng)站提供DDoS安全防護(hù)和CDN加速、分析及應(yīng)用等服務(wù)。公開(kāi)資料顯示,2015年每個(gè)月經(jīng)過(guò)CloudFlare的網(wǎng)頁(yè)瀏覽量就達(dá)到一萬(wàn)億的規(guī)模。
據(jù)谷歌安全工程師Tavis Ormandy披露,他在上周做一個(gè)業(yè)余項(xiàng)目時(shí)無(wú)意中發(fā)現(xiàn),CloudFlare把大量用戶數(shù)據(jù)泄露在谷歌搜索引擎的緩存頁(yè)面中,包括完整的https請(qǐng)求、客戶端IP地址、完整的響應(yīng)、cookie、密碼、密鑰以及各種數(shù)據(jù)。
經(jīng)過(guò)分析,CloudFlare漏洞是一個(gè)HTML解析器惹的禍。由于程序員把>= 錯(cuò)誤地寫(xiě)成了 ==,導(dǎo)致出現(xiàn)內(nèi)存泄露的情況。就像OpenSSL心臟出血一樣,CloudFlare的網(wǎng)站客戶也大面積遭殃,包括優(yōu)步(Uber)、密碼管理軟件1password、運(yùn)動(dòng)手環(huán)公司FitBit等多家企業(yè)用戶隱私信息在網(wǎng)上泄露。
Tavis Ormandy在推特上表示,他發(fā)現(xiàn)了來(lái)自各大交友網(wǎng)站的私密信息、來(lái)自知名聊天服務(wù)網(wǎng)站的完整信息、在線密碼管理器的數(shù)據(jù)、來(lái)自成人視頻網(wǎng)站的幀以及酒店預(yù)訂信息。為此谷歌的人在周末加班寫(xiě)工具來(lái)清理搜索緩存中的隱私數(shù)據(jù)。
CloudFlare“云出血”漏洞影響時(shí)間是從去年9月到今年2月18日,漏洞已經(jīng)得到修復(fù)。官方還解釋說(shuō),HTTPS的私鑰并不會(huì)因此漏洞而泄露。
在便利化、集中化的云服務(wù)領(lǐng)域中,漏洞的威脅能力正逐漸顯現(xiàn)。記者采訪了去年發(fā)現(xiàn)各大虛擬化軟件和開(kāi)源項(xiàng)目上百個(gè)漏洞的360Gear Team。360研究人員認(rèn)為,“云出血”漏洞事件給基礎(chǔ)服務(wù)商的安全性敲響了警鐘,因?yàn)橐坏┰贫说幕A(chǔ)組件或者服務(wù)商出現(xiàn)漏洞,會(huì)瞬間影響到無(wú)數(shù)網(wǎng)站和海量用戶,云服務(wù)領(lǐng)域的安全除了需要有責(zé)任的廠商擔(dān)當(dāng)外,還需要更有力量的安全行業(yè)人員、企業(yè)協(xié)同保護(hù)。
值得一提的是,Tavis Ormandy把如此嚴(yán)重的漏洞報(bào)告給CloudFlare,卻只得到了一件T恤獎(jiǎng)品?;A(chǔ)服務(wù)商對(duì)自身業(yè)務(wù)安全性的重視程度亟待提高,否則很難激勵(lì)白帽子幫助其發(fā)現(xiàn)漏洞,而這些漏洞可能正在被惡意的攻擊者默默利用。