CloudFlare 遭「滴血攻擊」:如果你註冊這些網站,請立即修改密碼!

據初步統計,至少 2 億使用者被此事波及,需要及時修改密碼!
評論
▲CloudFlare 不太在乎的態度惹惱了不少使用者
▲CloudFlare 不太在乎的態度惹惱了不少使用者
評論

本文原刊於合作媒體 tech2ipo,INSIDE 授權轉載

國外著名的網頁防火牆及代理伺服器 CloudFlare 近期被曝光存在重大「滴血攻擊」漏洞,200 多萬網站受此影響,其中不乏 Uber、Medium、4Chan、Yelp、海盜灣、feedly 等巨量使用者數的網站。據初步統計,至少 2 億使用者被此事波及,需要及時修改密碼。2015 年時,CloudFlare 曾獲微軟、Google、高通高達 1.1 億美元的投資。

作為被全世界站長界最出名的網頁防火牆及代理伺服器,CloudFlare 上運行著 550 多萬個網站(官方網站數據),但是因為公司的三個服務 email obfuscation(郵件混淆)、Server-side Excludes(伺服器端排除)、Automatic HTTPS Rewrites(HTTPS 自動重寫)存在「滴血攻擊」漏洞,只要駭客利用這個漏洞進行攻擊就可以獲得同一伺服器上其他網站的暫存訊息,進而導致資訊洩露。這個漏洞最早被 Google 安全團隊發現,在 2 月 18 日他們就發出了安全警告,很快 CloudFlare 就修復了漏洞並給出了原因解釋,「每 330 萬個 https 請求中就有一次攻擊行為,有可能導致資訊洩露。」

發現這 bug 的 Google 專家表示,「通過測試,主流交友網站的私人郵件、密碼數據庫、成人網站構架、飯店預訂資訊等數據都可以被駭客抓取,使用者的資訊、密碼等數據都可以被洩露。」

雖然到現在為止 CloudFlare 沒有公佈具體的受波及網站名單,但已經有不少網站主動發聲明要求使用者及時更改密碼。已經有 GitHub 使用者公佈了可能已經被這漏洞攻擊過的網站名單,網站數量高達 427 萬個。(需要注意的是,這是在 CloudFlare 上運行的大部分網站,並不意味著這些網站上的使用者資訊已經洩露)

CloudFlare 在聲明中還表示,「到目前為止還沒有發現有人惡意使用這漏洞的情況。」雖然也沒有網站對外宣佈使用者資訊洩露的情況,但漏洞曝光之前的攻擊行為可能已經導致不少使用者資訊洩露。而且在 CloudFlare 上,有不少巨量使用者級的網站,建議各位如果在以下主流網站有建立帳號的話,請及時修改密碼!

  • Medium.com
  • 4chan.org
  • Yelp.com
  • Zendesk.com
  • Uber.com
  • theprivatebay.org
  • change.org
  • feedly.com

CloudFlare 不太在乎的態度也惹惱了不少使用者,在 CloudFlare 最初的回應中,對漏洞的影響描寫地極其輕微,隨後又承認漏洞在 2016 年 9 月 22 日就出現。在許多網站已經主動邀請使用者修改密碼的時候,CloudFlare 依舊表示沒人反饋回報漏洞、沒有發現惡意使用現象。