[重磅] Cloudflare 泄露用戶敏感信息長達數月，涉及 Uber, 1Password, Fitbit 等...

根據 Google 安全研究員 Tavis Ormandy 在 Twitter 上披露，Cloudflare 泄露用戶 HTTPS session 長達數月之久，影響範圍巨大，涉及 Uber， 1Password, Fitbit 等公司。

Tavis 一直在 Project Zero 上持續彙報相關進度（具體狀況），根據他的說法，Cloudflare 原本承諾週二發佈公開聲明，但實際狀況是聲明屢次延期，直到 7 個小時前 Cloudflare 才發佈公開聲明 Incident report on memory leak caused by Cloudflare parser bug。

除延期以外，令 Tavis 不滿的還有，雖然 Cloudflare 在聲明中很好地反省了技術上的問題，但對於用戶的威脅卻只是一筆帶過。

最有戲劇性的一點是，在 Tavis 作了如此多的努力，並但願 Cloudflare 能重視此次問題以後，Cloudflare 對於報告 bug 的人（Tavis）只獎勵了一件T恤，顯然沒有給予該事件相應的重視，這或許也是讓 Tavis 最終將該事件在 Twitter 上曝光的緣由之一。

附錄：

• Tavis 的研究報告：cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory

• Cloudflare 官方關於問題的報告：Incident report on memory leak caused by Cloudflare parser bug

• hacker news 上的討論： Cloudflare Reverse Proxies Are Dumping Uninitialized Memory