云出血（Cloudbleed）：各知名互联网品牌泄露用户密钥和敏感信息

谷歌安全研究员发现了一个 Cloudflare漏洞，导致各大知名互联网品牌泄露了大量用户私人会话密钥和个人信息。

CloudFlare是一家美国的跨国科技企业，总部位于旧金山，在英国伦敦亦设有办事处。CloudFlare以向客户提供网站安全管理、性能优化及相关的技术支持为主要业务。通过基于反向代理的内容传递网络(ContentDeliveryNetwork,CDN)及分布式域名解析服务(DistributedDomainNameServer)，CloudFlare可以帮助受保护站点抵御包括拒绝服务攻击(DenialofService)在内的大多数网络攻击，确保该网站长期在线，同时提升网站的性能、访问速度以改善访客体验。

目前使用这一服务的公司有Uber，OK Cupid，Fitbit。但不幸的是，当用户访问任何由CloudFlare托管的网站时，都会强制泄露这些用户的敏感信息。这就好比一个场景：你正坐在一家餐厅内，服务员在递给你菜单的同时也递给了你前面一位用餐者的菜单和钱包。

当页面上出现混乱HTML标签特殊组合时就会触发该问题，从而会使CloudFlare代理服务器混乱，泄露其他人的数据，即使这些数据已经由https保护着也无济于事。

时间线

这一问题最初是被谷歌Project Zero团队的Tavis Ormandy发现的，在进行日常工作过程中，他发现浏览器的缓存中有大量的数据，包括会话和API密钥、cookies、密码等。

为了深入研究这一问题，我周末选择了加班。与此同时，我已经通知了Cloudflare这一问题的存在。深入挖掘我发现了更多敏感信息，包括https请求、用户IP地址、cookies、密码、密钥、数据等。

周四下午，Cloudflare发布了这一事件的应急报告：是Cloudflare Email Obfuscation，Server-Side Excludes，Automatic HTTPS Rewrites功能的问题。Cloudflare称从日志中可以看出，数据泄露时间发生在2月13日到18日期间，每3,300,000个请求中就会出现一次泄露。