網路安全出現大漏洞!CloudFlare ,被一名Google工程師發現該公司提供的服務有嚴重的資料洩漏問題,洩漏包括Cookies、API key、加密資料、密碼等敏感個資,且時間可能已經長達數月之久,約有400多萬個網站受到影響,其中包括Uber、1Password、Yelp、Reddit等知名網站通通中標。
知名網站紛「中標」,大量個資恐外洩
CloudFlare是一家提供網路優化服務的公司,總部位於美國舊金山,主要透過內容傳遞網路(Content Delivery Network,CDN)提供客戶網站安全管理、性能優化等服務,同時能夠協助守保護網站免於阻斷服務攻擊(Denial-of-service attack,DoS attack)。
據外媒《The Verge》報導,本月18日,一名Google工程師Travis Ormandy率先於個人Twitter上批露此事,當時他發現Google搜尋的緩存網頁中,出現大量加密金鑰、cookie等資料,於是通知Cloudflare處理。
Could someone from cloudflare security urgently contact me.
— Tavis Ormandy (@taviso) 2017年2月18日
出現問題的Cloudflare,讓只要使用他們所提供服務的網站時,就有可能將使用者包括帳號、密碼、Cookies甚至是你的飯店訂房紀錄等等極度隱私的資料外流。實際上,資料洩露問題最早發生在2016年9月,CloudFlare表示,這段期間最大規模的一次資料外洩是在本月13日,當時發現有代碼異動,顯示高達3,300,300次的HTTP請求。
Cloudflare have been leaking customer HTTPS sessions for months. Uber, 1Password, FitBit, OKCupid, etc. https://t.co/wjwE4M3Pbk
— Tavis Ormandy (@taviso) 2017年2月23日
問題已存在數個月,恐成近年最大規模網路資安事件
令人擔心的是,從開始出現資料外洩問題到被Google工程師Travis Ormandy發現問題,這中間已經歷經好幾個月的時間,其中受影響的不乏Uber、1Password、Yelp、Reddit、Fibit等用戶眾多的大型網站,若期間被有心人士利用此漏洞,恐怕造成相當大影響。
Cloudflare稱他們接獲通知後,花了七小時就將資料洩漏的問題修復,當初發現問題的工程師Travis Ormandy也表示,他對於高效率的處理印象相當深刻。
外媒評論,這次Cloudflare事件恐怕是近年來最大規模的網路資訊安全事件。由於這次受影響的網站數量相當多,如果擔心自己個資外洩的讀者,勤換密碼恐怕才是保護自己最有效的做法。
資料來源:The Verge、TechCrunch、Chromium
