CloudFlare的一个核心价值是，企业之间应该共享安全信息，以使整个互联网更加安全。这就是CloudFlare系统的工作原理：如果一个站点受到攻击，有关该攻击的数据会立即与网络的其他部分共享，这样其他站点就可以安全了。我们认为，当我们成为攻击的受害者时，同样的核心价值也应该适用。这就是为什么我们立即发布了一份事故报告，并继续更新，因为我们了解更多。写这份报告并不有趣，但我相信分享事件的细节是很重要的，这样其他可能受到影响的人可以从上周五发生的事件中吸取教训。这不是安全行业的通常做法，但我们认为这是安全行业应该采取的方式。为此，我们对黑客的了解如下。四大安全漏洞有四个关键的安全漏洞使得黑客攻击得以发生：AT&T被骗把我的语音信箱转到一个欺诈性的语音信箱；谷歌的账户恢复过程被欺诈的语音信箱欺骗了，留下了一个账户恢复密码，允许我的个人Gmail账户被重置；允许谷歌企业应用程序帐户恢复过程中存在缺陷黑客绕过我的双重身份验证CloudFlare.com网站地址；以及CloudFlare将事务性电子邮件BCC到某些管理人员帐户允许黑客重置客户的密码一次黑客已经进入了管理电子邮件帐户。修补漏洞我们正在跟进AT&T，以了解语音邮件是如何被重定向的。这仍然令人不安，但电话公司的语音信箱安全程序不严格也就不足为奇了。同样令人不安的是，Gmail的账户恢复过程似乎仍然容易受到语音邮件黑客攻击。这很麻烦，因为这意味着如果黑客知道你的电话号码，那么你的Gmail账户充其量只能和你的语音信箱密码一样安全。如果您是一个用户，您可以通过启用双因素身份验证来降低这些风险，理想情况下依赖于Google的Authenticator应用程序，而不是通过电话公司网络的任何东西。虽然谷歌提出了其他建议，但我已经从所有谷歌账户中删除了我的电话号码。谷歌公开声明，谷歌企业应用程序帐户恢复过程中的缺陷已经修补，你不能再使用它绕过双因素认证。同样，由于任何安全系统都只有其最薄弱的环节，我们建议使用不依赖电话公司网络的带外认证（例如，Google Authenticator应用程序，而不是短信或语音验证）。最后，CloudFlare已经停止将密码重置和其他事务性消息发送到管理帐户，如果管理员的电子邮件帐户将来受到威胁，则关闭该攻击向量。如果你在你的公司这样做，而且有很多公司把电子邮件当作穷人的日志，你应该停止。这就是为什么。时间轴活动从头到尾持续了不到2个小时。黑客在我的个人Gmail账户里呆了大约1小时35分钟。它们在CloudFlare的电子邮件帐户中停留了大约28分钟，尽管在我们的操作团队重置密码和会话时，它们可能中断了几次。为了更好地理解黑客攻击，我们把视觉时间线放在下面，这是我们对事件发生时的最佳理解。随着我们了解更多信息，我们将在这里和官方事故报告中更新信息。