7Aug
במהלך החודשים האחרונים, באג בשירות הפופולרי של Cloudflare חשף מידע משתמש רגיש - כולל שמות משתמש, סיסמאות והודעות פרטיות - אל העולם בטקסט רגיל.אבל כמה גדולה הבעיה הזאת, ומה אתה צריך לעשות?
מה זה Cloudflare?
Cloudflare הוא שירות המציע תכונות אבטחה וביצועים( בין היתר) לרשת רחבה של אתרי אינטרנט.זה מתנהג כמו proxy הפוך, מתווך ביניכם - המשתמש, ואת אתר נתון.כאשר אתה מבקר באתר זה, תועבר לאחד השרתים של Cloudflare במקום לשרתים של האתר עצמו.
זה מאפשר ל- Cloudflare להבטיח שאתה משתמש לגיטימי( ובכך מגנה מפני התקפות מסוג מניעת שירות), טען את האתר מהר יותר( מאחר שהם מטמון חלקים מסוימים של האתר), ומגן מפני זמן השבתה( מכיוון שיש להם מספר שרתים ברחבי העולםוהוא יכול ליפול על כל שרת אם יש בעיה).
בקיצור: Cloudflare שואפת להפוך את האתרים למהירים יותר ובטוחים יותר, וזה שירות הרבה אתרים להשתמש.
מה קרה?למרבה הצער, שום דבר אינו 100% מאובטח, גם אם האתר משתמש בשירות כמו Cloudflare, ו באגים לקרות.במקרה זה, Cloudflare למעשה גרם בעיה אבטחה: באג בקוד proxy הפוך כי מנתח HTML גרם שרתים של Cloudflare לדלוף את התוכן של הזיכרון שלה בנסיבות מסוימות.(חלק מהאנשים מתייחסים זה כמו "Cloudbleed", לשחק את באג heartbleed כי השפיעו גם על חלק גדול של האינטרנט.)
נתונים אלה יכלו לכלול כל מיני נתונים רגישים, כולל שמות משתמש, סיסמאות, הודעות פרטיות, OAuthאסימונים, והרבה יותר.גרוע מכך, חלק מהנתונים הללו צוינו באינדקס ובמטמון של כמה מנועי חיפוש( כ -700 עמודים, על פי Cloudflare), כך שאם ידעת מה לחפש ב- Google, תוכל למצוא נתונים רגישים ממשתמשים המתחברים בזמן מסויםדְלִיפָה.
באג זה לא התגלה במשך כחמישה חודשים, והוא תוקן לאחר שהתגלו השבוע.Cloudflare אומר כי "התקופה הגדולה ביותר של ההשפעה היתה מ -13 בפברואר ו -18 בפברואר, עם כ -1 בכל 3,300,000 בקשות HTTP באמצעות Cloudflare שעלול לגרום לזליגת זיכרון( כלומר, 0.00003% מהבקשות)".
אבל עם שירות פופולרי כמו Cloudflare,0.00003% הוא עדיין הרבה.כמה אנשים כבר קומפילציה רשימה של אתרים המשתמשים Cloudflare, והוא כולל מעל 4 מיליון תחומים, כולל Yelp, OkCupid, Uber, Authy, בינונית, ועוד רבים.(כמה יישומים ניידים מושפעים גם.)
אתה יכול לקרוא עוד על הפרטים הטכניים של באג זה בבלוג של Cloudflare, אם כי זה בטח רק עניין אותך אם אתה מתכנת - אם אתה משתמש אינטרנט רגיל,הדבר היחיד שאתה צריך לדעת הוא. ..
מה עלי לעשות?
ראשון: לא להיכנס לפאניקה יותר מדי.לא כל אתר ברשימה זו של 4 מיליון הדליף בהכרח מידע רגיש - אם האתר היה רק באמצעות Cloudflare כדי לשמור את נתוני התמונה, למשל, לא יהיה שום מידע רגיש לדלוף.וזה לא כמו כל דליפה היה רשימה בסיסית של סיסמאות בכל מקרה - זה היה מידע אקראי של מידע, אשר יכול לכלול כמה שמות משתמש וסיסמאות אקראיות בכל זמן נתון.
עם זאת, Cloudflare גם ציין כי אחד המפתחות הפרטיים שלהם היה דלף, אשר היה סיפק לתוקף גישה הרבה נתונים Cloudflare פנימי, כולל, פוטנציאלי, שמות משתמש וסיסמאות.Cloudflare היה מעורפל מאוד על נקודה מסוימת זו, למרות שזה סיכון ביטחוני משמעותי עם פוטנציאל לדלוף מידע רגיש הרבה יותר
כל מה שאמר, אין דרך אמיתית לדעת אם הנתונים שלך היה דלף ואיפה, אז רקכמובן כמובן בטוח של לשנות את כל הסיסמאות שלך .(בטח, אתה יכול להסתכל דרך רשימה של 4 מיליון אתרים ורק לשנות את אלה המשמשים Cloudflare, אבל בכנות, זה יהיה כנראה להיות קל ומהיר פשוט לשנות את כולם.)
הכללים הרגילים עם הסיסמאות חלים כאן: אל תשתמש באותה סיסמה במספר אתרים, השתמש במנהל סיסמאות כמו LastPass, והפעל אימות דו-שלבי עבור כל אתר שמאפשר זאת.אם אתה לא עושה את הדברים האלה, באג Cloudflare הוא כנראה המעטה של הדאגות שלך - אחרי הכל, אתרים לקבל פריצה כל הזמן, ואם אתה משתמש באותה סיסמה בכל מקום, כל הנתונים שלך נמצא בסיכון קבוע.
אם אתה כבר משתמש במנהל סיסמאות, תהליך זה צריך להיות קל( אם קצת ארוך ומשעמם).אבל אתה צריך לשמש ריקוד זה עד עכשיו.