以网站安全、CDN、网站效能优化闻名的网络服务商 CloudFlare,日前爆出新的严重漏洞,所幸已经在最近的修补中修复。但由于影响程度相当大,CloudFlare 呼吁被影响网站的使用者更改密码,并且启用二阶段认证机制。
CloudFlare CTO John Graham-Cumming 发文指出,受影响的部分是爬虫程式部分造成漏洞,从去年 9 月 22 日就可能造成机敏的密码和认证 token 资料外泄。其中在 2 月 13 日和 18 日有重大影响,Google、Bing、Yahoo 等搜索引擎搜寻结果则大量存下泄漏的 cache 资料。
CloudFlare 已经通知 Google 等搜索引擎,下架那些留有敏感资料的 cache 页面。因此在受到 Google Project Zero 的通知后,已经努力清除网络留有的资料,所以在发现漏洞后与各界公开漏洞资讯。
目前已知有 Uber、1Password、FitBit 和 OKCupid 受到影响。而 1Password 则是发文指出所有的资料在传输过程都处于加密状况,因此没有资料外泄问题。
相关连结
- List of Sites possibly affected by Cloudflare’s #Cloudbleed HTTPS Traffic Leak
- Cloudbleed: Big web brands leaked crypto keys, personal secrets thanks to Cloudflare bug
