[重磅] Cloudflare 泄露用户敏感信息长达数月，涉及 Uber, 1Password, Fitbit 等...

根据 Google 安全研究员 Tavis Ormandy 在 Twitter 上披露，Cloudflare 泄露用户 HTTPS session 长达数月之久，影响范围巨大，涉及 Uber， 1Password, Fitbit 等公司。

Tavis 一直在 Project Zero 上持续汇报相关进度（具体状况），根据他的说法，Cloudflare 原本承诺周二发布公开声明，但实际状况是声明屡次延期，直到 7 个小时前 Cloudflare 才发布公开声明 Incident report on memory leak caused by Cloudflare parser bug。

除延期以外，令 Tavis 不满的还有，虽然 Cloudflare 在声明中很好地反省了技术上的问题，但对于用户的威胁却只是一笔带过。

最有戏剧性的一点是，在 Tavis 作了如此多的努力，并但愿 Cloudflare 能重视此次问题以后，Cloudflare 对于报告 bug 的人（Tavis）只奖励了一件T恤，显然没有给予该事件相应的重视，这或许也是让 Tavis 最终将该事件在 Twitter 上曝光的缘由之一。

附录：

• Tavis 的研究报告：cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory

• Cloudflare 官方关于问题的报告：Incident report on memory leak caused by Cloudflare parser bug

• hacker news 上的讨论： Cloudflare Reverse Proxies Are Dumping Uninitialized Memory