互联网巨头cloudflare泄露的密码和交友网站信息

网络优化巨头Cloudflare泄露了包括cookies、API密钥和密码在内的敏感个人数据。这家为互联网上数百万个网站提供SSL加密的公司昨晚在其博客上发表了一篇详细的文章，宣布了这一漏洞。该公司表示，尚未发现任何恶意使用这些信息的行为，但指出还有一个问题，因为一些数据已被搜索引擎缓存。...

网络优化巨头Cloudflare泄露了包括cookies、API密钥和密码在内的敏感个人数据。这家为互联网上数百万个网站提供SSL加密的公司昨晚在其博客上发表了一篇详细的文章，宣布了这一漏洞。该公司表示，尚未发现任何恶意使用这些信息的行为，但指出还有一个问题，因为一些数据已被搜索引擎缓存。

这个问题最初是由Tavis Ormandy在2月18日发现的，他为谷歌的Project Zero security initiative工作，但是这个缺陷可能早在去年9月22日就已经生效了。Cloudflare表示，最大的信息泄漏始于2月13日，当时代码的变化意味着每3300300个HTTP请求中就有一个可能导致内存泄漏，这对于Cloudflare规模的网络来说是一个重要的数字。

奥曼迪说，他在缓存的数据中发现了酒店预订、密码管理员的密码以及约会网站的完整信息。”“直到这起事件发生之前，我才意识到有多少互联网被置于Cloudflare CDN背后，”他在2月19日写道我们讨论的是完整的https请求、客户端IP地址、完整的响应、Cookie、密码、密钥、数据等等。”在发现Ormandy的Twitter消息后，Cloudflare工程师禁用了三个使用导致问题的损坏代码的功能，并改为与缓存了信息的搜索引擎合作以清除这些信息。

Cloudflare称，此次泄漏（参考2014年的Heartbleed漏洞，非正式名称为“Cloudbleed”）是“缓冲区溢出”的结果，该问题是由其代码中的错误引起的。Cloudflare表示，这个bug在其代码中已经存在多年，但直到它从Ragel解析器切换到一个名为cfhtml的新解析器后才被发现，此举“微妙地改变了缓冲区”，并导致了漏洞的发生，“尽管cfhtml本身没有问题”

Cloudflare在解释推迟公布漏洞的原因时说，它“自然倾向于尽快公布漏洞的消息，但它认为自己“有责任确保在发布公告前清除搜索引擎的缓存”，并称自己在PasteBin等网站上搜索了泄露信息的存储库，但一无所获。

Cloudflare的博客文章声称，它只用了7个多小时就阻止了所有三个潜在的泄漏源，奥曼迪说，他对它对问题的快速反应“印象深刻”。不过，更改密码可能是个好主意，尤其是考虑到CloudFlare嵌入互联网的深度。

更正：澄清了代码中的bug不是由Ragel解析器直接生成的。