Cloudflare 泄露用戶 HTTPS session 長達數月,涉及 Uber,1password
類似Heartbleed的典型的緩衝區溢出漏洞在2017年再掀血雨腥風。
各大網站將網民的私有加密密鑰和個人信息泄露給了陌生人的瀏覽器,這歸因於谷歌的安全研究人員發現的一個Cloudflare漏洞。
Cloudflare幫助眾多公司在互聯網上傳送它們的網站流量和在線服務。由於一個編程錯誤,在某些情況下, Cloudflare的系統將伺服器內存裡面的部分隨機內容泄露到網頁,這種情況已持續了好幾個月。這意味著,如果你訪問了由Cloudflare提供支持的網站,有可能到頭來獲得隱藏在你瀏覽器頁面中的別人的互聯網數據。
比如說,Cloudflare為優步(Uber)、OK Cupid和Fitbit提供服務。事後發現,如果訪問由Cloudflare提供支持的任何網站,有時會泄露來自陌生人的Uber、OK Cupid和Fitbit會話的敏感信息。這就好比坐在一家餐廳的乾淨桌子旁邊,服務員除了遞上一份菜單,還遞上了前一個就餐客人的錢包或錢包裡面的東西。
如果網頁擁有特定組合的不成對出現的HTML標籤,就會觸發這一泄露事件。
HTML標記不成對出現,會讓Cloudflare的代理伺服器感到困惑,導致它們泄露屬於別人的數據,哪怕這些數據受HTTPS的保護。
已泄露……某個不走運的客戶的Fitbit會話泄露到了另一個隨機訪客的網路瀏覽器。
通常,被注入的這種信息沒人會注意,隱藏在網頁源代碼中,但是安全研究人員注意到了這一泄露,泄露的數據進入到了谷歌的緩存系統和其他搜索互聯網的機器人程序的手裡。
這個失誤最初是由塔維斯?奧曼迪(Tavis Ormandy)發現的,他是谷歌Project Zero安全團隊的英國漏洞獵人(bug hunter),他是上周搞一個業餘項目時無意中發現的。他在谷歌搜索引擎搜到的緩存網頁中發現了大量數據,包括加密密鑰、cookie和密碼。
今天他在解釋這個問題的公告中說:「我們發現的例子太嚴重了,於是我在星期天取消了一些周末安排,跑到辦公室,幫助開發一些工具來清理殘局。」
「我已告知Cloudflare我所知的事情。我發現了來自各大交友網站的私密信息、來自知名聊天服務網站的完整信息、在線密碼管理器的數據、來自成人視頻網站的幀以及酒店預訂信息。我們所指的是完整的https請求、客戶端IP地址、完整的響應、cookie、密碼、密鑰以及各種數據。」
奧曼迪表示,谷歌團隊迅速行動,清除了任何秘密信息;Cloudflare專門拉了一支團隊來處理此事。他暫時認為泄露的源頭是Cloudflare的ScrapeShield應用程序,該應用程序旨在阻止機器人程序批量複製網站上的信息,但結果發現問題比這來得嚴重。
好幾個月來,Cloudflare一直在泄露客戶的HTTPS會話數據。優步、1Password、FitBit和OKCupid等。
推薦閱讀:
TAG:网络安全 |