Cloudflare泄露用户信息长达数月,互联网重要安全事件两连击

蓝鲸传媒2月24日讯,美国CDN服务商Cloudflare泄露用户信息长达数月,优步(Uber)、密码管理软件1password、运动手环公司FitBit等多家企业将受影响。

谷歌安全工程师Tavis Ormandy对外公布了美国CDN服务商Cloudfare的信息泄露漏洞。此次泄露将影响优步(Uber)、密码管理软件1password、运动手环公司FitBit等多家企业。有评论人士称,Cloudflare这次事件是云服务几年来最严重的信息安全泄漏 ,其影响可能超过SHA-1 碰撞攻击。

据科技翻译工作者、微博用户Erlang介绍,Cloudfare的工程师在代码中犯下了致命错误导致内存泄漏,并使用户HTTPS session泄露长达数月。Cloudflare这次事件有可能成为云服务几年来最严重的信息安全泄漏,目前泄漏出去的信息已被各类爬虫缓存,而缓存中可能存有大量明文用户名密码信息。

谷歌工程师之所以能够发现这一漏洞,也由于在Google cache的内容中发现了敏感信息才曝出来的。目前有消息称,Google工程师要周末加班写工具,以便清理Google缓存数据中的敏感信息。

Cloudfare安全事件极有可能引发“蝴蝶效应”。除了明文密码之外,Uber的支付信息与地理位置信息,FitBit的健身与睡眠数据,以及1password保管的用户密码等隐私信息都有可能被泄露。

受波及企业中,1password是苹果MacOS和iOS平台上著名的密码管理软件。用户通过1password可以便捷地管理网站登录和敏感信息的应用,包括密码、身份卡和信用卡。

1password的原理是通过1个密码去管理整个密码信息库,用户只需要记住自己的主密码。当密码设定好之后,就可以把一切都交给1Password了,无需记住甚至无需知道密码是什么。当需要登录时,用内置浏览器打开网页,会自动填充账号密码,也可以把密码复制到任何地方。若需要跨平台使用时,使用同步功能同步到对应平台即可,1Password几乎全平台可用。

尽管1password的密码库有加密机制,但并不代表一定安全。若密码库主密码被攻破,或密码库被暴力破解,那么个人的所有重要信息都将暴露在黑客面前。

与Cloudfare信息泄露事件几乎同时,Google的研究人员刚刚创造了计算机加密学在2017年的第一个里程碑:他们攻破了 SHA-1安全加密算法。实验的关键研究者是来自荷兰CWI研究机构的马克·斯蒂文斯 (Marc Stevens)。通过和Google进行合作,他获得了实现本次攻破的关键资源:强大的计算能力。SHA-1(全称 Secure Hash Algorithm-1)是一种安全加密算法,最主要的用途是数字签名。

信息泄露与加密算法遭遇破解,极有为2017年的网络安全蒙上了阴霾。