CloudFlare失误暴露了密码,来自网站的其他敏感数据
发布时间:2022-04-11 15:47:59 所属栏目:要闻 来源:互联网
导读:几个月,CloudFlare的错误S的内容优化系统公开了用户发送的敏感信息,以使用公司的内容传送网络的网站。数据包括密码,会话cookie,身份验证令牌甚至私人邮件。 CloudFlare作为数百万个网站的反向代理,包括主要互联网服务和财富500强公司,其中它为幕后提供
|
几个月,CloudFlare的错误“S的内容优化系统公开了用户发送的敏感信息,以使用公司的内容传送网络的网站。数据包括密码,会话cookie,身份验证令牌甚至私人邮件。 CloudFlare作为数百万个网站的反向代理,包括主要互联网服务和财富500强公司,其中它为幕后提供安全和内容优化服务。作为该过程的一部分,该公司的系统在通过其服务器时修改HTML页面,以便将HTTP链接重写为HTTPS,隐藏机器人的某些内容,使能加速移动页面(放大器)和更多。 因此,包含潜在敏感信息的内部存储器被泄露到返回给用户以及搜索引擎爬虫的一些响应中。具有敏感数据的网页被缓存,并通过像Google,Yahoo和Bing这样的搜索引擎进行搜索。 谷歌安全工程师Tavis Ormandy在一个不相关的项目工作时,谷歌安全工程师Tavis Ormandy几乎发现了泄漏。一旦他和他的同事意识到他们看到的奇怪数据是什么,而且它来自哪里,他们就会提醒CloudFlare。 这发生在2月18日。CloudFlare立即组装了一个事件响应团队并杀死了几小时内导致大部分泄漏的功能。2月20日将完整的修复到位。其余时间,直到事件在星期四公开披露,都与搜索引擎一起使用,以将敏感数据从缓存中擦洗。 即便如此,由于暴露数据的性质,事件非常严重,CloudFlare客户可能决定采取行动,如强迫用户更改他们的密码。 “i”m从主要约会网站找到私信,来自着名的聊天服务,在线密码管理器数据,来自成人视频网站的帧,酒店预订,“Ormandy在谷歌项目零”的错误跟踪器中写道在事件中。“我们”重新谈论完整的HTTPS请求,客户端IP地址,完整的响应,cookie,密码,密钥,数据,一切。“ (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330459号