CloudFlare遭「滴血攻擊」：若你注冊了這些網站，請立即修改密碼

請！立！即！修！改！密！碼！

國外著名的云加速、云服務器提供商 CloudFlare 近期被曝光存在重大「滴血攻擊」漏洞，200 多萬網站受此影響，其中不乏 Uber、Medium、4Chan、Yelp、海盜灣、feedly 等用戶數量達到千萬級甚至億級的網站。據初步統計，至少 2 億用戶被此事波及，需要及時修改密碼。2015 年時，CloudFlare 曾獲百度、微軟、Google、高通高達 1.1 億美元的投資。

作為被全世界站長界最出名的云加速、云安全服務商，CloudFlare 上運行著 550 多萬個網站（官方網站數據），但是因為公司的三個服務 email obfuscation（郵件混淆）、Server-side Excludes（服務器端排除）、Automatic HTTPS Rewrites（HTTPS 自動重寫）存在「滴血攻擊」漏洞，只要黑客利用這一漏洞進行攻擊就可以獲得同一服務器上其他網站的緩存信息，進而導致信息泄露。這一漏洞最早被 Google 安全團隊發現，在 2 月 18 日他們就發出了安全警告，很快 CloudFlare 就修復了這一漏洞并給出了原因解釋，「每 330 萬個 https 請求中就有一次攻擊行為，有可能導致信息泄露。」而根據 2015 年底公布的數據，CloudFlare 每個月將處理 1 萬億次請求，很難想像 CloudFlare 這次漏洞可能已經影響到了 200 多萬個網站。

發現這一 bug 的 Google 專家表示，「通過測試，主流相親網站的私人郵件、密碼數據庫、成人網站構架、酒店預訂信息等數據都可以被黑客抓取，用戶的信息、密碼等數據都可以被泄露。」

雖然到現在為止 CloudFlare 沒有公布具體的受波及網站名單，但已經有不少網站主動發聲明要求用戶及時更改密碼。已經有 GitHub 用戶公布了可能已經被這一漏洞攻擊過的網站名單，這一名單上的網站數量高達 427 萬個。（需要注意的是，這是在 CloudFlare 上運行的大部分網站，并不意味著這些網站上的用戶信息已經泄露）

CloudFlare 在聲明中還表示，「到目前為止還沒有發現有人惡意使用這一漏洞的情況。」雖然也沒有網站對外宣布用戶信息泄露的情況，但漏洞曝光之前的攻擊行為可能已經導致不少用戶信息泄露。而且在 CloudFlare 上，有不少千萬甚至億萬用戶級的網站，TECH2IPO 建議各位如果在以下主流網站有建立賬號的話，請及時修改密碼！

Medium.com
4chan.org
Yelp.com
Zendesk.com
Uber.com
theprivatebay.org
change.org
feedly.com

CloudFlare 滿不在乎的態度也惹惱了不少用戶，在 CloudFlare 最初的回應中，對漏洞的影響描寫地極其輕微，隨后又承認這一漏洞在 2016 年 9 月 22 日就出現。在許多網站已經主動邀請用戶修改密碼的時候，CloudFlare 依舊表示沒人反饋回報漏洞、沒有發現惡意使用現象。

來自: tech2ipo.com