在過去的幾個月裡,流行的Cloudflare服務中的一個bug可能將敏感的使用者資料(包括使用者名稱、密碼和私人訊息)以純文字的形式暴露給了全世界。但這個問題有多大,你該怎麼辦?
Cloudflare是一種為廣泛的網站網路提供安全和效能特性的服務。它充當一個反向代理,一個介於使用者和給定網站之間的中間人。當您訪問該站點時,您將被引導到Cloudflare的一個伺服器,而不是實際站點的伺服器。
這允許Cloudflare確保您是合法使用者(從而防止拒絕服務攻擊),更快地載入站點(因為他們快取了站點的某些部分),並防止停機(因為他們在全球有多個伺服器,如果有問題,可以回退到任何伺服器上)。
簡而言之:Cloudflare旨在讓網站更快、更安全,這是很多網站使用的一項服務。
不幸的是,沒有什麼是100%安全的,即使站點使用Cloudflare這樣的服務,錯誤也會發生。在本例中,Cloudflare實際上導致了一個安全問題:解析HTML的反向代理程式碼中的一個bug導致Cloudflare的伺服器在某些情況下洩漏其記憶體內容。(有些人把它稱為“Cloudbleed”,這是一個“Heartbleed bug”的附加版本,它也影響了網際網路的很大一部分。)
這些資料可能包括各種敏感資料,包括使用者名稱、密碼、私有訊息、OAuth令牌等等。更糟糕的是,其中一些資料被一些搜尋引擎索引和快取(根據Cloudflare的資料,大約有700頁),因此如果你知道在Google上搜索什麼,你就可以從特定洩漏時登入的使用者那裡找到敏感資料。
這個錯誤大約有五個月沒有被發現,本週被發現後就被修補了。Cloudflare說:“影響最大的時期是2月13日和2月18日,透過Cloudflare的每3300000個HTTP請求中就有1個可能導致記憶體洩漏(約佔請求的0.00003%)。”
但對於像Cloudflare這樣受歡迎的服務,0.00003%仍然是很多。一些人已經編制了一份使用Cloudflare的網站列表,其中包括超過400萬個域名,包括Yelp、OkCupid、Uber、Authy、Medium等等。(一些移動應用程式也會受到影響。)
你可以在Cloudflare的部落格上閱讀更多關於這個bug的技術細節,不過只有當你是一個程式設計師的時候你才會感興趣如果你是一個普通的網際網路使用者,你唯一需要知道的是…
第一:不要太驚慌。在這400萬個站點中,並不是每個站點都會洩漏敏感資訊,例如,如果一個站點只是使用Cloudflare快取影象資料,就不會有敏感資訊洩漏。並不是每次洩密都是密碼的主列表,而是隨機的資訊,在任何給定的時間都可能包含一些隨機的使用者名稱和密碼。
不過,Cloudflare還指出,他們自己的一個私鑰被洩露,這將使攻擊者能夠訪問大量Cloudflare內部資料,其中可能包括使用者名稱和密碼。Cloudflare對這一點非常含糊,儘管這是一個可能洩露更多敏感資訊的重大安全風險
儘管如此,目前還沒有真正的方法來判斷你的資料是否被洩露以及洩露的地點,因此目前唯一安全的做法是更改你的所有密碼。(當然,您可以瀏覽400萬個站點的列表,只更改Cloudflare使用的站點,但老實說,只更改所有站點可能會更簡單、更快。)
密碼的一般規則在這裡適用:不要在多個站點上使用相同的密碼,使用類似LastPass的密碼管理器,併為每個允許使用密碼的站點啟用雙因素身份驗證。如果你不做這些事情,那麼Cloudflare bug可能是你最不擔心的,畢竟,網站總是被駭客攻擊,如果你在任何地方都使用相同的密碼,那麼你所有的資料都會經常面臨風險。
相關:為什麼你應該使用密碼管理器,以及如何開始
如果您已經在使用密碼管理器,這個過程應該很容易(如果有點長和無聊)。但你現在應該習慣這種舞蹈了。
... 一個編碼錯誤意味著使用Cloudflare的網站已經將使用者資料洩露到web上,可能已經持續數月了。這些使用者資料將出現在網頁底部的混亂文字旁邊。雖然目前還沒有證據表明這些資料被惡意利用,...
...當中的外行來說,是一個****,雖然看網路色情不應該有什麼丟臉的地方,但它一般不是你想在屋頂上大喊大叫的東西。 ...
...; 截至發稿時,仍不清楚洩露的資訊是如何或為什麼花了四年時間才出現的,但現在,Dropbox已經採取了預防措施,向他們認為受到影響的賬戶傳送電子郵件,並提示重新設定密碼。 我們所知道的 2012年,Dropbox宣...
...種方式保護您的安全似乎是個好主意。然而,你最終可能什麼都不付。讓我們看看益百利的黑暗網路掃描,看看它實際上做了什麼。 ...
... 這對谷歌來說是個糟糕的選擇,這是肯定的。谷歌還有什麼可能隱藏或掩蓋,因為這一披露會損害其商業慣例? ...