根據 Google 安全研究員 Tavis Ormandy 在 Twitter 上披露,Cloudflare 洩露使用者 HTTPS session 長達數月之久,影響範圍巨大,涉及 Uber, 1Password, Fitbit 等公司。
![[重磅] Cloudflare 洩露使用者敏感資訊長達數月,涉及 Uber, 1Password, Fitbit 等...](https://i.iter01.com/images/16caf0285a6c0f8ea80540fe5457380ca1bf871c096662ea123a949aefb9adc7.jpg)
Tavis 一直在 Project Zero 上持續彙報相關進度(具體情況),根據他的說法,Cloudflare 本來承諾週二釋出公開宣告,但實際情況是宣告多次延期,直到 7 個小時前 Cloudflare 才釋出公開宣告 Incident report on memory leak caused by Cloudflare parser bug。
![[重磅] Cloudflare 洩露使用者敏感資訊長達數月,涉及 Uber, 1Password, Fitbit 等...](https://i.iter01.com/images/b1d9e6c8fb499f223223058dcba5942211b545b957960ada7739645d20361ecd.jpg)
除延期之外,令 Tavis 不滿的還有,雖然 Cloudflare 在宣告中很好地檢討了技術上的問題,但對於使用者的威脅卻只是一筆帶過。
![[重磅] Cloudflare 洩露使用者敏感資訊長達數月,涉及 Uber, 1Password, Fitbit 等...](https://i.iter01.com/images/4c24faddcdc7aa7c908f4377360680b20990f6b1310c2c55f5c7cc963de8f4be.jpg)
最有戲劇性的一點是,在 Tavis 做了如此多的努力,並希望 Cloudflare 能重視這次問題之後,Cloudflare 對於報告 bug 的人(Tavis)只獎勵了一件T恤,顯然沒有給予該事件相應的重視,這或許也是讓 Tavis 最終將該事件在 Twitter 上曝光的原因之一。
![[重磅] Cloudflare 洩露使用者敏感資訊長達數月,涉及 Uber, 1Password, Fitbit 等...](https://i.iter01.com/images/7c3c2dbc1c04facc01789c3f78bee69f17d7fb91bee40d0cc473da4117f1d591.jpg)
附錄:
Tavis 的研究報告:cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory
Cloudflare 官方關於問題的報告:Incident report on memory leak caused by Cloudflare parser bug
hacker news 上的討論: Cloudflare Reverse Proxies Are Dumping Uninitialized Memory