OpenSSL的“心臟出血”讓人心有余悸，如今著名的網絡服務商CloudFlare又曝出“云出血”漏洞，導致用戶信息在互聯網上泄露長達數月時間。不過幸運的是，中國用戶并未受到此次事故的影響。

　　CloudFlare總部位于美國舊金山，是一家成長迅速的網絡性能和安全公司，專門為網站提供DDoS安全防護和CDN加速、分析及應用等服務。公開資料顯示，2015年每個月經過CloudFlare的網頁瀏覽量就達到一萬億的規模。

　　據谷歌安全工程師Tavis Ormandy披露，他在上周做一個業余項目時無意中發現，CloudFlare把大量用戶數據泄露在谷歌搜索引擎的緩存頁面中，包括完整的https請求、客戶端IP地址、完整的響應、cookie、密碼、密鑰以及各種數據。

　　經過分析，CloudFlare漏洞是一個HTML解析器惹的禍。由于程序員把>= 錯誤地寫成了 ==，導致出現內存泄露的情況。就像OpenSSL心臟出血一樣，CloudFlare的網站客戶也大面積遭殃，包括優步(Uber)、密碼管理軟件1password、運動手環公司FitBit等多家企業用戶隱私信息在網上泄露。

　　Tavis Ormandy在推特上表示，他發現了來自各大交友網站的私密信息、來自知名聊天服務網站的完整信息、在線密碼管理器的數據、來自成人視頻網站的幀以及酒店預訂信息。為此谷歌的人在周末加班寫工具來清理搜索緩存中的隱私數據。

　　CloudFlare“云出血”漏洞影響時間是從去年9月到今年2月18日，漏洞已經得到修復。官方還解釋說，HTTPS的私鑰并不會因此漏洞而泄露。

　　在便利化、集中化的云服務領域中，漏洞的威脅能力正逐漸顯現。記者采訪了去年發現各大虛擬化軟件和開源項目上百個漏洞的360Gear Team。360研究人員認為，“云出血”漏洞事件給基礎服務商的安全性敲響了警鐘，因為一旦云端的基礎組件或者服務商出現漏洞，會瞬間影響到無數網站和海量用戶，云服務領域的安全除了需要有責任的廠商擔當外，還需要更有力量的安全行業人員、企業協同保護。

　　值得一提的是，Tavis Ormandy把如此嚴重的漏洞報告給CloudFlare，卻只得到了一件T恤獎品?；A服務商對自身業務安全性的重視程度亟待提高，否則很難激勵白帽子幫助其發現漏洞，而這些漏洞可能正在被惡意的攻擊者默默利用。

責任編輯：韓希宇