7Aug
W ciągu ostatnich kilku miesięcy błąd w popularnej usłudze Cloudflare mógł ujawnić światu poufne dane użytkownika - w tym nazwy użytkowników, hasła i wiadomości prywatne - w postaci zwykłego tekstu. Ale jak duży jest ten problem i co powinieneś zrobić?
Czym jest Cloudflare?
Cloudflare to usługa oferująca funkcje bezpieczeństwa i wydajności( między innymi) w szerokiej sieci witryn internetowych. Działa jako odwrotny proxy, pośrednik między tobą a użytkownikiem i daną witryną.Gdy odwiedzasz tę stronę, zostaniesz przekierowany do jednego z serwerów Cloudflare zamiast do rzeczywistych serwerów witryny.
Dzięki temu Cloudflare zapewnia, że jesteś prawowitym użytkownikiem( chroniąc w ten sposób przed atakami typu "odmowa usługi"), szybciej ładuj stronę( ponieważ buforują określone części witryny) i zabezpiecz przed przestojami( ponieważ mają wiele serwerów na całym świeciei może się cofnąć na dowolnym serwerze, jeśli ktoś ma problem).
W skrócie: Cloudflare ma na celu uczynienie witryn szybszymi i bezpieczniejszymi, a jest to usługa używana przez wiele stron internetowych.
Co się stało?(I co to jest "Cloudbleed?")
Niestety, nic nie jest w 100% bezpieczne, nawet jeśli strona korzysta z usługi takiej jak Cloudflare i pojawiają się błędy. W tym przypadku Cloudflare faktycznie spowodował problem bezpieczeństwa : błąd w odwrotnym kodzie proxy, który parsował HTML powodował, że serwery Cloudflare przeciekały zawartość jego pamięci w pewnych okolicznościach.(Niektórzy nazywają to "Cloudbleed", gra z błędem Heartbleed, który również wpłynął na dużą część Internetu.)
Dane te mogły zawierać wszystkie rodzaje poufnych danych, w tym nazwy użytkowników, hasła, prywatne wiadomości, OAuthtokeny i wiele więcej. Co gorsza, niektóre z tych danych zostały zindeksowane i zapisane w pamięci podręcznej przez niektóre wyszukiwarki( około 700 stron, według Cloudflare), więc jeśli wiesz, czego szukać w Google, możesz znaleźć poufne dane od użytkowników logujących się w czasie określonegonieszczelność.
Błąd ten został nieodkryty przez około pięć miesięcy i został załatany po odkryciu w tym tygodniu. Cloudflare twierdzi, że "największy okres wpływu miał miejsce od 13 lutego do 18 lutego, a około 1 na każde 3 300 000 żądań HTTP za pośrednictwem Cloudflare potencjalnie skutkowało wyciekiem pamięci( to około 0,00003% żądań)."
Ale z usługą tak popularną jak Cloudflare,0,00003% to wciąż dużo. Niektórzy ludzie kompilują listę stron korzystających z Cloudflare i obejmują ponad 4 miliony domen - w tym Yelp, OkCupid, Uber, Authy, Medium i wiele, wiele więcej.(Dotyczy to również niektórych aplikacji mobilnych.)
Możesz przeczytać więcej na temat szczegółów technicznych tego błędu na blogu Cloudflare, ale prawdopodobnie będzie cię to interesowało tylko wtedy, gdy jesteś programistą - jeśli jesteś zwykłym użytkownikiem internetu,jedyne, co musisz wiedzieć, to. ..
Co powinienem zrobić?
Po pierwsze: nie panikuj za bardzo. Nie każda witryna z tej listy zawierała 4 miliony danych poufnych - jeśli witryna używała Cloudflare do przechowywania danych obrazu w pamięci podręcznej, na przykład nie byłoby żadnych newralgicznych informacji, które mogłyby zostać ujawnione. I nie jest tak, że każdy przeciek był i tak główną listą haseł - to były przypadkowe informacje, które mogło włączyć do kilku losowych nazw użytkowników i haseł w danym czasie.
Jednak Cloudflare zauważyło również, że jeden z ich prywatnych kluczy został ujawniony, co zapewniłoby osobie atakującej dostęp do wielu wewnętrznych danych Cloudflare - w tym, potencjalnie, nazw użytkowników i haseł.Cloudflare był bardzo niejasny w tej kwestii, mimo że jest to poważne zagrożenie bezpieczeństwa, które może potencjalnie wyciekać o wiele bardziej wrażliwe informacje.
Wszystko, co powiedzieliśmy, nie ma prawdziwego sposobu na stwierdzenie, czy któreś z twoich danych wyciekło i gdzie, więc jedynebezpieczny sposób działania jest teraz zmienić wszystkie swoje hasła .(Oczywiście, możesz przejrzeć listę 4 milionów witryn i zmienić tylko te używane przez Cloudflare, ale szczerze, prawdopodobnie łatwiej i szybciej będzie po prostu zmienić je wszystkie.)
Stosuje się tu zwykłe reguły z hasłami: nie używaj tego samego hasła w wielu witrynach, używaj menedżera haseł, takiego jak LastPass, i włącz dwuskładnikowe uwierzytelnianie dla każdej witryny, która na to pozwala. Jeśli nie robisz tych rzeczy, błąd Cloudflare jest prawdopodobnie najmniejszym z twoich zmartwień - w końcu witryny są atakowane przez cały czas, a jeśli używasz tego samego hasła wszędzie, wszystkie twoje dane są regularnie narażone na ryzyko.
Jeśli już używasz menedżera haseł, proces ten powinien być łatwy( jeśli trochę długi i nudny).Ale powinieneś już być przyzwyczajony do tego tańca.