Cloudbleed:它对用户和msp意味着什么

2017年2月23日，为数千家网站提供基础设施和服务的互联网公司Cloudflare宣布，他们已经在软件源代码中发现并纠正了一个错误。所谓的Cloudbleed漏洞使依赖Cloudflare基础设施服务的网站的数据“泄露”，包括用户密码等。

这个漏洞的消息在互联网上引起了轩然大波。可能有成千上万的地点和人们处于危险之中。虽然该漏洞被比作2014年登上头条的“心脏出血”漏洞，但专家们很快表示，虽然这是一个巨大的安全漏洞，但没有“心脏出血”那么严重。然而，“Cloudbleed”这个名字很快就因为数据泄露而流行起来。也许后缀“流血”将成为IT数据泄露的代名词，就像“门”是政治丑闻的代名词一样。

对于用户来说，Cloudbleed意味着要经历更改密码和确保在线账户安全的繁琐工作。对于依赖Cloudflare服务的企业来说，这意味着要调查他们客户的数据到底有多安全。对于托管服务提供商来说，这是一个机会，要记住，将服务委托给其他提供商并不会让您在出现问题时摆脱困境——您仍然需要为客户提供服务。

什么是Cloudbleed?

造成这种混乱的漏洞很小，很容易看出它是如何被忽视的。在Cloudflare的源代码中，有一行应该是“=”的地方出现了“>”。然而，一个字符的差异可能会导致内存溢出。

由于这个单一字符，任何使用Cloudflare的网站都可能意外地将其他人的数据提供给用户——前提是他们的网页使用了某些“不平衡的HTML标签”组合。本质上，它是可能的受cloudbleed影响的网页上的任何用户都可以查看其他用户的数据。这些数据包括他们的登录凭证，甚至私人消息的内容。《The Register》的科技作家伊恩·汤普森将《Cloudbleed》描述为“在餐馆里，当你坐在一张干净的桌子前时，除了拿到菜单外，你还会拿到上一位用餐者的钱包或钱包里的东西。”

谷歌安全研究员Tavis Ormandy于2月19日向Cloudflare报告了该漏洞，并将其命名为“Cloudbleed”。Cloudflare在听说后立即纠正了源代码中的错误。他们在2月23日公布了这一消息，当时他们已经评估了损失的程度。Cloudflare认为，Cloudbleed漏洞可能早在去年9月就开始影响网站。

据Cloudflare称，Cloudflare处理的网络流量中只有0.00003%受到了该漏洞的影响．这样算下来大约有3400个网站，包括一些非常受欢迎的网站，比如Uber、OKCupid、Yelp等等。Fitbit和Discord等在线服务也受到了影响。

Cloudbleed对用户意味着什么?

很难说有多少数据因为Cloudbleed而落入黑客和其他不劳而获者之手。可能只有很少的数据真正被潜在的不良行为者发现。即便如此，受影响的网站和服务已经向用户明确表示，现在修改密码是一个非常非常好的主意。

人们需要担心的不仅仅是受影响网站的密码——毕竟，2015年的一份报告揭示了这一点近四分之三的人会重复使用密码．这意味着一个网站上的数据泄露可能会危及其他人在许多其他网站上的信息。

这就是大多数黑客的工作原理。黑客通过网络钓鱼获得受害者的领英(LinkedIn)、Dropbox或谷歌的密码，然后通过反复试验，看看他们还能用这个密码侵入其他什么系统。受害者的电子邮件?贝宝账户还是银行账户?他们的电脑吗?

密码重复使用可能会带来毁灭性的后果。在Gillwar欧宝娱乐百科张信哲代言博彩 欧宝娱乐e，我们最近帮助了一名勒索软件受害者，在黑客获得了他们文件共享服务的登录凭证后，他的办公电脑被勒索软件入侵。他们的工作电脑使用了相同的密码，并且没有受到带有双重身份验证的强大VPN的保护。因此，黑客可以很容易地远程进入计算机并加密其内容。

受Cloudbleed影响的用户还可能看到他们在OKCupid等网站或Discord等聊天服务上的账户被劫持，并被用来向其他人传播网络钓鱼骗局，可能会危及更多的人。

对于用户来说，Cloudbleed提醒他们为所有在线账户使用强大且唯一的密码。它还提醒人们在可能的情况下使用双因素身份验证，尤其是与工作相关的事项。

Cloudbleed对msp意味着什么?

Cloudflare已经修复了Cloudbleed，因此不再有任何进一步的数据泄漏威胁。如果你有客户，你已经指向Cloudflare为他们的网站基础设施需求，建议他们应该如何通知他们的网站用户。

msp可以从Cloudbleed中学到的重要事情是，无论发生什么，你都需要为你的客户服务。仅仅因为您将服务委托给另一个提供者，您不能免除自己的责任。

许多托管服务提供都是向客户推荐某些解决方案。当然，你不能什么都做。当您的客户需要好的备份服务或强大的VPN时，您可能会转卖另一个备份提供商的服务，或者告诉您的客户，“这里，使用这个VPN软件。”

仅仅因为你没有直接提供服务并不意味着如果有不好的事情发生，你就可以摆脱困境。当你向客户推荐Cloudflare时，Cloudbleed发生了，或者当你向客户推荐任何服务时，出现了问题，客户不会在意是谁负责任，仅此而已不好的事情发生了．当你的客户陷入困境时，他们会求助于你．如果你不能帮助他们，他们可能会背叛你在你。

让我们使用另一个示例—例如自动备份服务。假设您告诉客户Bob使用Alice的备份服务。一切都在一段时间内运转良好。然后爱丽丝的备份服务公司破产了，或者他们的数据中心着火了，或者别的什么。或者Bob的服务器崩溃了，他发现——这很艰难——他本应该审计他的备份。如果你没有及时帮助你的客户，一个糟糕的情况可能会变成你和你的客户的噩梦。

如何判断Cloudbleed是否影响了网站?

Cloudflare尚未提供受影响网站的官方名单。然而，在过去的一周里，已经出现了多种资源和工具来识别可能受到Cloudbleed影响的网站。例如,Chrome网络浏览器的扩展查看你的Chrome书签并识别可能受影响的网站。网站“它使用Cloudflare吗?提供了一种检查网站是否使用Cloudflare的便捷方式。

记住，云血是不像心脏出血一样严重。仅使用Cloudflare的网站五月已经妥协了。仅仅因为bug存在并不一定意味着bug被利用了。目前还没有证据表明大量用户数据已落入黑客之手。

同样，Cloudbleed并没有影响到每一个使用Cloudflare的网站。没有办法确定一个网站是否被Cloudbleed攻击。您只能检查该网站是否使用Cloudflare。根据Cloudflare的说法，实际上只有一小部分网站遭受了这个漏洞。

也就是说，受影响的网站和服务(如Uber、Yelp、Fitbit和Discord)的用户仍然应该更改密码，只是为了安全起见。这也是一个很好的提醒，避免使用重复的密码，设置双重身份验证，尤其是对你的金融账户。