BrowserStack是一项可让开发人员通过虚拟机在11种不同操作系统下的700多种浏览器中获得测试其网站能力的服务,价格从39美元/月到399美元/月不等。据悉,BrowserStack已经拥有2.5万名客户,当中包括了维基百科、Ubuntu、Adobe、eBay、斯坦福大学。另外,微软也开始跟BrowserStack展开合作。
作为BrowserStack服务的一部分,该家公司承诺,为客户提供全方面的安全保护,例如防止虚拟机遭到篡改。然而日前,却有一名自称BrowserStack内部人员的人向订阅户发送了邮件,告知他们BrowserStack对它在服务安全上“公然撒了谎”。该名内部人员提到了当中一些“谎言”的具体内容:
1.管理员可监视虚拟机;
2.他们没有安装防火墙,所使用的“密码政策非常糟糕”;
3.公司内基础设施的所有服务器都使用相同的根密码且都以明文的形式储存在虚拟机中。
该封邮件暗示,所有用户的数据都已经被盗,并还特别对BrowserStack的企业级客户表达了道歉之意。
至于该封邮件的内容是否完全真实尚不能做定论。不过一些来自HackerNews的用户则指出,这封邮件所使用的服务器跟以往邮件所使用的服务器并不相同–早前BrowserStack并不会用亚马逊的SES,而这次却用了它。
BrowserStack的Twitter账号也对该攻击消息给予了肯定,并表示将对此展开调查。另外,他们还需要暂时关闭由其提供的服务。
目前,BrowserStack的官网已无法访问,显示的则是正在维护的提示。