[[184224]]

日前，一名谷歌研究人員發現了一起令人擔憂的網站信息泄漏事件，涉及大量密碼、私人通信和敏感數據，受損的不乏Uber、FitBit和OKCupid等大型科技公司，這可能是2017年開年以來最嚴重的一起泄漏事件。

由于出現漏洞的是頗受歡迎的科技公司CloudFlare，許多人戲稱這一事件為“CloudBleed”。這起因代碼問題引起的危機和臭名昭著的2015年Heartbleed漏洞并無二致，后一起事件涉及200多萬個網站，任何人都能讀取系統的運行內存。

要命的是，搜索引擎居然在緩存這些泄漏信息。此外，CloudFlare往往通過同一臺服務器來管理不同站點的內容，因此，當惡意人士請求獲取一個網站的信息時，其他網站的信息也會被泄露。

“比方說，你瀏覽的是Uber的頁面，但收到了okcupid.com的信息。”Pen Test Partners的白帽黑客Andrew Tierney說道，“任何人都可以獲取這些敏感數據，甚至無需主動攻擊。我媽媽可能僅僅因為登上了CloudFlare的網站而收到別人瀏覽器緩存中的登錄密碼。”

著名的谷歌bug獵手Tavis Ormandy首先發現了這個問題，并在2月17日通報給了CloudFlare。在其模擬攻擊中，他收到了服務器“送來”的加密密鑰、密碼，甚至其他用戶的HTTPS請求。

在之后的一篇博文中，Tavis發現，這個問題變得越發嚴重。“我發現主流相親網站上的私人信件、在線密碼管理者數據、成人網站的框架、酒店預訂信息等等，所有的HTTPS請求、客戶IP地址、全部的回復、數據包、密碼、密鑰、數據都被泄漏了。”

Ormandy說，CloudFlare后來給他發來了一封信，把“這一漏洞給用戶帶來的風險說得輕描淡寫”。不過，對于該公司在本周四發表的最終公告，Ormandy并未作更多評價。在這份公告中，CloudFlare表示：“這一漏洞非常嚴重，因為我們知道所泄漏的內容包括私人信息，這些信息甚至被搜索引擎緩存了下來。與此同時，我們并未發現任何惡意鉆這一漏洞的人士，也沒有更多有關該漏洞的匯報。”

“該漏洞的關鍵影響期在2月13日至2月18日，在每330萬個HTTP請求中，會有1個請求遇到信息泄漏的狀況(也就是說泄漏發生的概率為0.00003%)。”該公司承認，最早的數據泄漏可能出現在2016年9月22日。

目前，眾多CloudFlare上的網站內容已經上傳到了GitHub，不過我們并不清楚哪些網站的信息遭到了泄露。上傳GitHub列表的人士表示，建議所有使用CloudFlare服務的公司的用戶更改密碼，以防萬一。