在过去的几个月里，广受欢迎的Cloudflare服务中的一个漏洞可能以纯文本的形式向世界暴露了敏感的用户数据-包括用户名、密码和私人消息。但是这个问题有多大，你应该怎么做？

什么是云焰？

CloudFlare是一项为广泛的网站网络提供安全和性能功能(以及其他功能)的服务。它充当反向代理，充当您--用户--和给定网站之间的中间人。当您访问该站点时，您将被定向到Cloudflare的一台服务器，而不是实际站点的服务器。

这使得Cloudflare可以确保您是合法用户(从而防止拒绝服务攻击)，更快地加载站点(因为他们缓存了站点的某些部分)，并防止宕机(因为他们在全球拥有多台服务器，如果其中一台出现问题，可以退回到任何服务器上)。

简而言之：CloudFlare的目标是让网站更快、更安全，这是很多网站都在使用的一项服务。

发生了什么？(什么是“云出血”？)

不幸的是，没有什么是百分之百安全的，即使站点使用像Cloudflare这样的服务，错误也会发生。在这种情况下，Cloudflare实际上造成了一个安全问题：在某些情况下，解析HTML的反向代理代码中的错误导致Cloudflare的服务器泄漏其内存内容。(一些人将其称为“云血”，这是一部根据“心脏出血”漏洞改编的游戏，该漏洞也影响了很大一部分互联网。)

这些数据可能包括各种敏感数据，包括用户名、密码、私人消息、OAuth令牌等等。更糟糕的是，其中一些数据被一些搜索引擎索引和缓存(根据Cloudflare的数据，大约有700页)，所以如果你知道在谷歌上搜索什么，你就可以找到在特定泄密事件发生时登录的用户的敏感数据。

这个漏洞在大约五个月的时间里没有被发现，在本周被发现后，它被打上了补丁。CloudFlare说“影响最大的时期是2月13日和2月18日，大约每3300，000个通过Cloudflare的HTTP请求中就有1个可能导致内存泄漏(约占请求的0.00003%)。”

但对于像Cloudflare这样受欢迎的服务来说，0.00003%仍然是一个很大的数字。有些人一直在整理使用Cloudflare的网站列表，其中包括400多万个域名--包括Yelp、OkCupid、Uber、Authy、Medium等等。(一些移动应用程序也会受到影响。)

你可以在Cloudflare的博客上读到更多关于这个错误的技术细节，尽管它可能只会让你感兴趣，如果你是一名程序员-如果你是一个普通的互联网用户，你唯一需要知道的就是…

我该怎么办？

第一：不要太惊慌。并不是这份400万份名单上的每个网站都一定会泄露敏感信息-例如，如果一个网站只是使用Cloudflare缓存图像数据，就不会有敏感信息泄露。而且，不管怎样，每一次泄露都不像是一份密码主列表-它是随机的信息片段，在任何给定的时间都可能包括一些随机的用户名和密码。

然而，Cloudflare也指出，他们自己的一个私钥被泄露，这将使攻击者能够访问大量内部Cloudflare数据-可能包括用户名和密码。*Cloudflare对这一点极其含糊，尽管这是一个重大的安全风险，有可能泄露更多敏感信息

尽管如此，没有真正的方法来判断您的数据是否被泄露以及在哪里被泄露，所以现在唯一安全的做法是更改所有的密码。(当然，您可以查看400万个站点的列表，只更改Cloudflare使用的站点，但老实说，只更改所有站点可能会更容易、更快。)

通常的密码规则在这里适用：不要在多个网站上使用相同的密码，使用LastPass这样的密码管理器，并为每个允许的网站打开双因素身份验证。如果你不做这些事情，Cloudflare漏洞可能是你最不担心的-毕竟，网站总是被黑客攻击，如果你在任何地方都使用相同的密码，你的所有数据都会经常面临风险。

相关：为什么应该使用密码管理器，以及如何入门

如果您已经在使用密码管理器，这个过程应该很简单(如果有点冗长乏味)。但你现在应该已经习惯这支舞了。