7Aug
Během posledních několika měsíců mohla chyba v oblíbené službě Cloudflare vystavit citlivé uživatelské údaje - včetně uživatelských jmen, hesel a soukromých zpráv - světu ve formátu prostého textu. Ale jak velký je tento problém a co byste měl dělat?
Co je Cloudflare?
Cloudflare je služba, která nabízí funkce zabezpečení a výkonu( mimo jiné) na širokou síť webových stránek. Funguje jako reverzní proxy, prostředník mezi vámi - uživatelem a danou webovou stránkou. Když navštívíte tuto stránku, budete přesměrováni na jeden z serverů společnosti Cloudflare namísto serverů skutečné lokality.
Umožňuje Cloudflare zajistit, že jste oprávněný uživatel( čímž chráníte proti útokům s odmítnutím služby), rychleji načítáte stránky( protože jste uložili do mezipaměti některé části webu) a chránit před prostoji( protože mají více serverů po celém světěa může klesnout zpět na libovolný server, pokud má nějaký problém).
Stručně řečeno: Služba Cloudflare má za cíl rychlejší a bezpečnější stránky a je to služba, kterou využívají mnoho webů.
Co se stalo?(A co je "Cloudbleed?")
Bohužel, nic není 100% bezpečné, i když web používá službu jako Cloudflare, a chyby se stávají.V tomto případě Cloudflare vlastně způsobil bezpečnostní problém: chyba v reverzním proxy kódu, který analyzuje HTML způsobil Cloudflare servery k úniku obsahu jeho paměti za určitých okolností.(Někteří lidé se na to odkazují jako na "Cloudbleed", hra na hru Heartbleed, která postihla také velkou část internetu.)
Tato data by mohla obsahovat všechny druhy citlivých dat, včetně uživatelských jmen, hesel, soukromých zpráv, OAuthžetony a mnohem víc. Ještě horší bylo, že některé z těchto dat byly indexovány a ukládány do mezipaměti některými vyhledávači( podle Cloudflare asi 700 stran), takže pokud jste věděli, co hledat na Googlu, můžete najít citlivé údaje od uživatelů, kteří se přihlásí v době určitéhounikat.
Tato chyba se neobjevila asi pět měsíců a poté, co byla objevena tento týden, byla opravena. Cloudflare říká, že "největší období dopadu bylo od 13. února a 18. února s přibližně 1 z každých 3.300.000 HTTP požadavků přes Cloudflare potenciálně vedoucí k úniku paměti( to je asi 0.00003% žádostí)."
Ale se službou stejně populární jako Cloudflare,0.00003% je stále hodně.Někteří lidé sestavili seznam stránek, které používají službu Cloudflare, a zahrnují více než 4 miliony domén - včetně Yelp, OkCupid, Uber, Authy, Medium a mnoho dalších.(Některé mobilní aplikace jsou také ovlivněny.)
Další informace o technických podrobnostech této chyby naleznete na blogu Cloudflare, i když vás pravděpodobně zajímá pouze pokud jste programátor - pokud jste běžným uživatelem internetu,jen věc, kterou potřebujete vědět, je. ..
Co mám dělat?
Za prvé: nemusíte příliš panicovat. Ne každá stránka na tomto seznamu 4 milionů nutně unikla citlivým informacím - pokud by stránky používaly pouze Cloudflare pro ukládání dat do mezipaměti, například by nebyly žádné citlivé informace k úniku. A není to tak, že každý únik byl hlavní seznam hesel - byl to náhodný kus informací, které mohl obsahovat několik náhodných uživatelských jmen a hesel v daném okamžiku.
Cloudflare však také poznamenal, že byl propuštěn jeden z jeho vlastních soukromých klíčů, což by poskytlo útočníkovi přístup k mnoha vnitřním datům Cloudflare - včetně potenciálních uživatelských jmen a hesel. Cloudflare byl extrémně vágní o tomto konkrétním bodě, ačkoli to je hlavní bezpečnostní riziko s potenciálem uniknout mnohem citlivější informace
Všechno řekl, že neexistuje žádný skutečný způsob, jak zjistit, zda některý z vašich dat byl unikl a kde, tak jedinýbezpečným akčním krokem je změnit všechny vaše hesla .(Jasně, můžete se podívat na seznam 4 milionů webů a změnit pouze ty, které používá Cloudflare, ale upřímně řečeno, asi by bylo jednodušší a rychleji je jednoduše změnit všechny.)
Zde platí obvyklá pravidla s hesly: nepoužívejte stejné heslo na více místech, použijte správce hesel jako LastPass a zapněte dvoufaktorové ověřování pro každou stránku, která to povolí.Pokud tyto chyby neděláte, chyba Cloudflare je pravděpodobně nejmenší z vašich starostí - koneckonců, stránky jsou neustále hacknuty a pokud používáte všude stejné heslo, všechna vaše data jsou pravidelně ohrožena.
Pokud již používáte správce hesel, měl by být tento proces snadný( pokud je trochu dlouhý a nudný).Ale teď byste měl být zvyklý na tento tanec.