本文作者：謝幺

今日（2月24日），一個可能影響互聯網為之一顫的漏洞轟然出現，知名云安全服務商Cloudflare被爆泄露用戶HTTPS網絡會話中的加密數據長達數月，受影響的網站預計至少200萬之多，其中涉及Uber、1password等多家知名互聯網公司的服務。

據了解，Cloudflare為眾多互聯網公司提供CDN、安全等服務，幫助優化網頁加載性能。然而由于一個編程錯誤，導致在特定的情況下，Cloudflare的系統會將服務器內存里的部分內容緩存到網頁中。

因此用戶在訪問由Cloudflare提供支持的網站時，通過一種特殊的方法，可以隨機獲取來自其他人的會話中的敏感信息，哪怕這些數據受到HTTPS的保護。這就好比你在發郵件時，執行一個特定操作就能隨機獲得他人的機密郵件。雖然是隨機獲取，可一旦有心之人反復利用該方法，就能積少成多就能獲得大量私密數據。

聽起來是不是有些像當年席卷整個互聯網的心臟滴血漏洞？（可見于：《曾席卷全球的“心臟滴血“漏洞，三年后仍存在于近20萬設備中》） 因此也有網友稱此次漏洞為“云滴血”。

可怕的是，該漏洞自首次被Google公司的安全人員發現，至今已有好幾個月。也就是說，在這一期間甚至是在這之前，很可能有不法分子利用該漏洞，造訪了所有Cloudflare提供服務的網站。而Cloudflare服務的互聯網公司數量眾多，其中不乏我們所熟知的優步（Uber）、OKCupid、Fibit等等。

漏洞最初是由谷歌Project Zero安全團隊的漏洞獵人（國內稱白帽子）塔維斯·奧曼迪發現的，當時他在谷歌搜索的緩存網頁中發現了大量包括加密密鑰、cookie和密碼在內的數據。于是他很快告知Cloudflare ， Cloudflare派出團隊來處理此事，結果發現導致問題的幾個重要操作分別發生在數天和數月之前。

有趣的是，漏洞發現者奧曼迪在帖子中特別提到，Cloudflare的漏洞賞金最高只獎勵一件T恤。因此有網友開玩笑地表示：

據說是Goole的人先把這個問題報告給Cloudflare,但只被獎勵了一件T恤，然后就在推特公開…