Cloudflare泄露用戶信息長達數月，互聯網最大安全事件爆發？

谷歌安全工程師Tavis Ormandy對外公布了美國CDN服務商Cloudfare的信息泄露漏洞。此次泄露將影響優步(Uber)、密碼管理軟體1password、運動手環公司FitBit等多家企業。有評論人士稱，Cloudflare這次事件是雲服務幾年來最嚴重的信息安全泄漏，其影響可能超過SHA-1碰撞攻擊。

(Tavis Ormandy公布的漏洞詳情)

據科技翻譯工作者、微博用戶Erlang介紹，Cloudfare的工程師在代碼中犯下了致命錯誤導致內存泄漏，並使用戶HTTPS session泄露長達數月。Cloudflare這次事件有可能成為雲服務幾年來最嚴重的信息安全泄漏，目前泄漏出去的信息已被各類爬蟲緩存，而緩存中可能存有大量明文用戶名密碼信息。

谷歌工程師之所以能夠發現這一漏洞，也由於在Google cache的內容中發現了敏感信息才曝出來的。目前有消息稱，Google工程師要周末加班寫工具，以便清理Google緩存數據中的敏感信息。

Cloudfare安全事件極有可能引發「蝴蝶效應」。除了明文密碼之外，Uber的支付信息與地理位置信息，FitBit的健身與睡眠數據，以及1password保管的用戶密碼等隱私信息都有可能被泄露。

受波及企業中，1password是蘋果MacOS和iOS平台上著名的密碼管理軟體。用戶通過1password可以便捷地管理網站登錄和敏感信息的應用，包括密碼、身份卡和信用卡。

1password的原理是通過1個密碼去管理整個密碼信息庫，用戶只需要記住自己的主密碼。當密碼設定好之後，就可以把一切都交給1Password了，無需記住甚至無需知道密碼是什麼。當需要登錄時，用內置瀏覽器打開網頁，會自動填充賬號密碼，也可以把密碼複製到任何地方。若需要跨平台使用時，使用同步功能同步到對應平台即可，1Password幾乎全平台可用。

儘管1password的密碼庫有加密機制，但並不代表一定安全。若密碼庫主密碼被攻破，或密碼庫被暴力破解，那麼個人的所有重要信息都將暴露在黑客面前。

與Cloudfare信息泄露事件幾乎同時，Google的研究人員剛剛創造了計算機加密學在2017年的第一個里程碑：他們攻破了SHA-1安全加密演算法。實驗的關鍵研究者是來自荷蘭CWI研究機構的馬克·斯蒂文斯(Marc Stevens)。通過和Google進行合作，他獲得了實現本次攻破的關鍵資源：強大的計算能力。SHA-1（全稱Secure Hash Algorithm-1）是一種安全加密演算法，最主要的用途是數字簽名。

信息泄露與加密演算法遭遇破解，極有為2017年的網路安全蒙上了陰霾。