雲出血（Cloudbleed）：各知名互聯網品牌泄露用戶密鑰和敏感信息

谷歌安全研究員發現了一個 Cloudflare漏洞，導致各大知名互聯網品牌泄露了大量用戶私人會話密鑰和個人信息。

CloudFlare是一家美國的跨國科技企業，總部位於舊金山，在英國倫敦亦設有辦事處。CloudFlare以向客戶提供網站安全管理、性能優化及相關的技術支持為主要業務。通過基於反向代理的內容傳遞網路(ContentDeliveryNetwork,CDN)及分散式域名解析服務(DistributedDomainNameServer)，CloudFlare可以幫助受保護站點抵禦包括拒絕服務攻擊(DenialofService)在內的大多數網路攻擊，確保該網站長期在線，同時提升網站的性能、訪問速度以改善訪客體驗。

目前使用這一服務的公司有Uber，OK Cupid，Fitbit。但不幸的是，當用戶訪問任何由CloudFlare託管的網站時，都會強制泄露這些用戶的敏感信息。這就好比一個場景：你正坐在一家餐廳內，服務員在遞給你菜單的同時也遞給了你前面一位用餐者的菜單和錢包。

當頁面上出現混亂HTML標籤特殊組合時就會觸發該問題，從而會使CloudFlare代理伺服器混亂，泄露其他人的數據，即使這些數據已經由https保護著也無濟於事。

時間線

這一問題最初是被谷歌Project Zero團隊的Tavis Ormandy發現的，在進行日常工作過程中，他發現瀏覽器的緩存中有大量的數據，包括會話和API密鑰、cookies、密碼等。

為了深入研究這一問題，我周末選擇了加班。與此同時，我已經通知了Cloudflare這一問題的存在。深入挖掘我發現了更多敏感信息，包括https請求、用戶IP地址、cookies、密碼、密鑰、數據等。

周四下午，Cloudflare發布了這一事件的應急報告：是Cloudflare Email Obfuscation，Server-Side Excludes，Automatic HTTPS Rewrites功能的問題。Cloudflare稱從日誌中可以看出，數據泄露時間發生在2月13日到18日期間，每3,300,000個請求中就會出現一次泄露。

本文參考來源於theregister，如若轉載，請註明來源於嘶吼： 雲出血（Cloudbleed）：各知名互聯網品牌泄露用戶密鑰和敏感信息 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：