CloudFlare发生严重的安全事故致使HTTP会话信息泄露
国外知名的CDN与DDoS防护厂商CloudFlare日前披露某起严重的安全事故,部分用户的私密信息泄露。
问题发生的原因在于CloudFlare边缘服务器存在漏洞导致溢出并对HTTP请求返回包含私密Cookies信息。
而这些错误已经让众多搜索引擎的蜘蛛抓取并缓存到了自己的服务器上,想要完全的删除几乎是不可能的了。
在Google Project Zero主页我们可以看到事故处理的进展,CloudFlare正在联系搜索引擎进行删除工作。
事实上在长达1个月的泄露事件期间CloudFlare都没有发现,事故还是有Google安全人员发现并通知的。
而现在Google的工程师们正在努力编写脚本想要批量删除Google已经缓存的包含用户私密信息的页面。
由于本身使用CloudFlare提供服务的大型网站非常非常多,因此本次事故影响的用户可以说是规模巨大的。
如邮件服务FastMail、知名的Uber以及密码管理服务1Password均有使用CloudFlare提供的防护服务(尚不清楚具体哪些网站、有多少用户受到影响)。
如需了解具体的事故经过以及进展等请前往CloudFlare和Project Zero了解: