標籤:

[重磅] Cloudflare 泄露用戶敏感信息長達數月,涉及 Uber, 1Password, Fitbit 等...

原文鏈接:[重磅] Cloudflare 泄露用戶敏感信息長達數月,涉及 Uber, 1Password, Fitbit 等... - 掘金

根據 Google 安全研究員 Tavis Ormandy 在 Twitter 上披露,Cloudflare 泄露用戶 HTTPS session 長達數月之久,影響範圍巨大,涉及 Uber, 1Password, Fitbit 等公司。

Tavis 一直在 Project Zero 上持續彙報相關進度(具體情況),根據他的說法,Cloudflare 本來承諾周二發布公開聲明,但實際情況是聲明多次延期,直到 7 個小時前 Cloudflare 才發布公開聲明 Incident report on memory leak caused by Cloudflare parser bug。

除延期之外,令 Tavis 不滿的還有,雖然 Cloudflare 在聲明中很好地檢討了技術上的問題,但對於用戶的威脅卻只是一筆帶過。

最有戲劇性的一點是,在 Tavis 做了如此多的努力,並希望 Cloudflare 能重視這次問題之後,Cloudflare 對於報告 bug 的人(Tavis)只獎勵了一件T恤,顯然沒有給予該事件相應的重視,這或許也是讓 Tavis 最終將該事件在 Twitter 上曝光的原因之一。

附錄:

  • Tavis 的研究報告:cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory

  • Cloudflare 官方關於問題的報告:Incident report on memory leak caused by Cloudflare parser bug

  • hacker news 上的討論: Cloudflare Reverse Proxies Are Dumping Uninitialized Memory

推薦閱讀:

2017安全城市指數報告發布,亞洲國家更為安全?
【醫學雜談】如何安全地做磁共振檢查
果凍為什麼建議三歲以上孩子吃?
窮是違法的合理理由嗎?
來說一個鬼故事,結局卻是萬萬沒想到啊 ?

TAG:安全 | CloudFlare |