“云出血”漏洞凶猛！CloudFlare泄露海量用户信息

CloudFlare总部位于美国旧金山，是一家成长迅速的网络性能和安全公司，专门为网站提供DDoS安全防护和CDN加速、分析及应用等服务。公开资料显示，2015年每个月经过CloudFlare的网页浏览量就达到一万亿的规模。

据谷歌安全工程师Tavis Ormandy披露，他在上周做一个业余项目时无意中发现，CloudFlare把大量用户数据泄露在谷歌搜索引擎的缓存页面中，包括完整的https请求、客户端IP地址、完整的响应、cookie、密码、密钥以及各种数据。

经过分析，CloudFlare漏洞是一个HTML解析器惹的祸。由于程序员把>= 错误地写成了 ==，导致出现内存泄露的情况。就像OpenSSL心脏出血一样，CloudFlare的网站客户也大面积遭殃，包括优步(Uber)、密码管理软件1password、运动手环公司FitBit等多家企业用户隐私信息在网上泄露。

Tavis Ormandy在推特上表示，他发现了来自各大交友网站的私密信息、来自知名聊天服务网站的完整信息、在线密码管理器的数据、来自成人视频网站的帧以及酒店预订信息。为此谷歌的人在周末加班写工具来清理搜索缓存中的隐私数据。

CloudFlare“云出血”漏洞影响时间是从去年9月到今年2月18日，漏洞已经得到修复。官方还解释说，HTTPS的私钥并不会因此漏洞而泄露。

在便利化、集中化的云服务领域中，漏洞的威胁能力正逐渐显现。记者采访了去年发现各大虚拟化软件和开源项目上百个漏洞的360Gear Team。360研究人员认为，“云出血”漏洞事件给基础服务商的安全性敲响了警钟，因为一旦云端的基础组件或者服务商出现漏洞，会瞬间影响到无数网站和海量用户，云服务领域的安全除了需要有责任的厂商担当外，还需要更有力量的安全行业人员、企业协同保护。

值得一提的是，Tavis Ormandy把如此严重的漏洞报告给CloudFlare，却只得到了一件T恤奖品。基础服务商对自身业务安全性的重视程度亟待提高，否则很难激励白帽子帮助其发现漏洞，而这些漏洞可能正在被恶意的攻击者默默利用。