很多网络安全事故的根源都是代码中的缺陷,而知名网络优化服务(CDN)提供商 CloudFlare 也遭遇了这样的问题。其由于代码缺陷问题导致 cookies、API 键值、以及密码等在内的许多个人信息被曝光。
据悉,该公司为大量的互联网站点提供SSL加密服务,而此次的缺陷问题首先是由谷歌旗下的 Project Zero 安全小组工作Travis Ormandy于2月18日曝光的。可是事实上,该缺陷的问题存在时间或许更久远,可以追溯到去年9月23日。
Ormandy表示,从缓存的数据中可以看到很多问题,他表示“在这件事发生之前,我不知道 CloudFlare 背后究竟有多少互联网站点。缓存的数据中包括完整的https请求、客户端IP地址、完整的响应、cookies、密码、键值、日期等一切内容。”
事发后,CloudFlare表示,他们所知道的最大的一次泄露开始于今年的2月13日,而当时的代码异动显示每秒3,300,300 次的 HTTP 请求可能导致了内存溢出。不过,在Ormandy公布以后,CloudFlare已经禁用了导致问题出现的三项功能代码,并且联合搜索引擎方携手清理缓存信息。
(责任编辑:宋编辑)
