很多網路安全事故的根源都是代碼中的缺陷,而知名網路優化服務(CDN)提供商 CloudFlare 也遭遇了這樣的問題。其由於代碼缺陷問題導致 cookies、API 鍵值、以及密碼等在內的許多個人資訊被曝光。
據悉,該公司為大量的互聯網網站提供SSL加密服務,而此次的缺陷問題首先是由穀歌旗下的 Project Zero 安全小組工作Travis Ormandy於2月18日曝光的。可是事實上,該缺陷的問題存在時間或許更久遠,可以追溯到去年9月23日。
Ormandy表示,從緩存的資料中可以看到很多問題,他表示“在這件事發生之前,我不知道 CloudFlare 背後究竟有多少互聯網網站。緩存的資料中包括完整的https請求、用戶端IP位址、完整的回應、cookies、密碼、鍵值、日期等一切內容。”
事發後,CloudFlare表示,他們所知道的最大的一次洩露開始於今年的2月13日,而當時的代碼異動顯示每秒3,300,300 次的 HTTP 請求可能導致了記憶體溢出。不過,在Ormandy公佈以後,CloudFlare已經禁用了導致問題出現的三項功能代碼,並且聯合搜尋引擎方攜手清理緩存資訊。
