总部位于旧金山的Cloudflare公司日前宣布,几个月来,其边缘服务器泄露了一些敏感数据,其中包括客户密码,cookie和身份验证令牌。CloudFlare公司主要为客户提供网站安全管理、性能优化及相关的技术支持等业务。
Cloudflare公司首席技术官John Graham-Cumming表示,该公司的边缘服务器“正在运行超出缓冲区并返回包含私有信息的内存,”并承认这个漏洞可能允许任何注意到这个Bug的人收集各种个人的信息,不过这些信息通常是加密或模糊的。
而一些消息表明,这个名为“Cloudbleed”的漏洞可能早在2016年9月22日之前就已经十分活跃,而在今年2月13日和2月18日之间最为严重。在这段时间里,每330万个HTTP请求中约有一个请求使得Cloudflare的网站可能暴露数据。而Google公司的Project Zero的安全研究员报告了这个缺陷。
因此,Cloudflare的用户应该及时更改密码。而Cloudflare公司为超过500万个网站提供服务,并拥有像Uber和OkCupid公司这样的大客户,所以其数据泄露的后果可能是毁灭性的。
虽然Cloudflare公司迅速地解决了这个问题,但在约五个月的时间内泄露的私人信息可能被实时截获或留在实时搜索引擎的缓存中。
Cloudflare公司工作人员表示,他们不相信有人利用了这个漏洞。尽管如此,获得其服务的用户可能想改变他们的密码,以确保帐户不被损害。而Cloudflare的一些客户,如Creative Commons和Change.org,已经要求其用户重置密码,即使他们没有直接受到影响。
Creative Commons公司内容和社区主管Eric Steuer表示:“因为我们的捐赠者数据没有涉及Cloudflare服务,我们相信不会面临风险。此外,Cloudflare公司已经与我们联系,并通知我们,我们认为可能不会受到泄漏的影响。尽管如此,出于谨慎的考虑,我们仍然要求所有用户重置密码。”