Cloudflare và sự cố Cloudbleed

Cập nhật lần cuối vào

Cloudbleed hay còn gọi là Cloudleak hoặc Cloudflare Bug là một lỗ hổng bảo mật của Cloudflare được Tavis Ormandy (chuyên gia dự án bảo mật Project Zero của Google) phát hiện và công bố ngày 17/02/2017, sự cố này đã làm rò rỉ thông tin của hàng triệu website người dùng và đã được khắc phục ngay sau đó trong vòng 1 giờ.

Cloudflare Cloudbleed

Cloudflare là công ty chuyên dịch vụ phân phối nội dung (CDN) và bảo mật, họ cung cấp dịch vụ cho rất nhiều website lớn trên toàn cầu với số lượng trang web lên đến trên 5 triệu. Vừa qua Cloudflare đã được thông báo về một lỗ hổng nghiêm trọng, đó là lỗi tràn bộ đệm tại một máy chủ của họ, kết quả được trả về từ bộ nhớ chứa các thông tin riêng tư như HTTP COOKIE, HTTP POST, HTTP Token và một số dữ liệu khác. Lỗ hổng này được phát hiện bởi một chuyên gia của Google đó là anh Tavis Ormandy và được Cloudflare hỗ trợ khắc phục nhanh chóng trong vòng 1 giờ.

Ngay bây giờ bạn có thể kiểm tra xem trang web của bạn có bị ảnh hưởng từ sự cố này hay không bằng cách tải về danh sách các tên miền bị ảnh hưởng trên trang chủ của GitHub.

Người dùng nên làm gì để tăng cường bảo mật

Nếu bạn đang sử dụng dịch vụ của Cloudflare và tên miền của bạn nằm trong danh sách mình gửi bên trên thì bạn nên thông báo với người dùng thay đổi mật khẩu, hãy tập thói quen sử dụng mật khẩu mạnh bằng cách kiểm tra mật khẩu của bạn trên Password Strength Checker hoặc sử dụng công cụ tạo mật khẩu mạnh Secure Password Generator, tuy nhiên đối với những mật khẩu mạnh thì rất khó nhớ, bạn nên có phương pháp để lưu giữ và bảo đảm tuyệt đối an toàn chỉ mình bạn có thể xem được.

Nên bật xác minh 2 bước nếu các dịch vụ bạn đang dùng có hỗ trợ, các dịch vụ phổ biến như Google, Facebook, Dropbox đều có hỗ trợ xác thực 2 bước. Khi sử dụng xác minh 2 bước thì dù người khác có biết mật khẩu của bạn thì cũng không thể truy cập vào được. Ngoài ra thì nếu bạn có quan tâm thì nên dành thời gian tìm hiểu thêm về kiến thức bảo mật, luôn đề cao cảnh giác nếu như bạn sử dụng các dịch vụ trực tuyến có liên quan đến tài khoản ngân hàng hoặc các thông tin riêng tư khác.

Theo dõi
Thông báo của
guest

4 Comments
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận
Mai hien di dong quan Tan Binh

Toàn bộ website của mình hiện tại đều có namesever ở đây, và không thấy bất cứ cái gì cả, chắc do site mình không lớn lắm.

Văn Luận
7 năm trước

Đang tính sử dụng free cho web mà này sao dám xài ta

Gia Phát
7 năm trước

Mình mới dùng thử tài khoản Free của Cloudflare. Đúng là Free có khác thi thoảng lại bị báo 524. Được cái cũng nhanh hơn chút.

Võ Thanh Điền
6 năm trước

Thấy nhiều blogger than phiền gặp nhiều lỗi vơi cloudflare. Không biết ý kiến của bạn thế nào?