根據 Google 安全研究員 Tavis Ormandy 在 Twitter 上披露,Cloudflare 洩露使用者 HTTPS session 長達數月之久,影響範圍巨大,涉及 Uber, 1Password, Fitbit 等公司。
Tavis 一直在 Project Zero 上持續彙報相關進度(具體情況),根據他的說法,Cloudflare 本來承諾週二釋出公開宣告,但實際情況是宣告多次延期,直到 7 個小時前 Cloudflare 才釋出公開宣告 Incident report on memory leak caused by Cloudflare parser bug。
除延期之外,令 Tavis 不滿的還有,雖然 Cloudflare 在宣告中很好地檢討了技術上的問題,但對於使用者的威脅卻只是一筆帶過。
最有戲劇性的一點是,在 Tavis 做了如此多的努力,並希望 Cloudflare 能重視這次問題之後,Cloudflare 對於報告 bug 的人(Tavis)只獎勵了一件T恤,顯然沒有給予該事件相應的重視,這或許也是讓 Tavis 最終將該事件在 Twitter 上曝光的原因之一。
附錄:
Tavis 的研究報告:cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory
Cloudflare 官方關於問題的報告:Incident report on memory leak caused by Cloudflare parser bug
hacker news 上的討論: Cloudflare Reverse Proxies Are Dumping Uninitialized Memory