Još jednom Korisnički podaci s najmanje 3.400 web stranica, uključujući Fitbit, Une, pa čak i 1Password, otkriveni su, ovom prilikom, zbog Cloudflare sigurnosnog propusta, pa se preporučuje da odmah promijenite pristupne lozinke.
Korisnički podaci sa više od 3.400 web stranica filtriraju i keširaju pretraživači kao rezultat sigurnosne greške u Cloudflareu, mreži za isporuku sadržaja koju koriste hiljade web stranica. Mjesecima su pogođene web stranice poput Ubera, Fitbita ili stranice za upoznavanje OKCupid među hiljadama. 1Password također koristi Cloudflare, međutim kompanija tvrdi da zahvaljujući svojoj end-to-end enkripciji, podaci njenih korisnika nisu otkriveni.
Sigurnosna greška koja otkriva podatke stotina hiljada korisnika
Sigurnost i privatnost naših ličnih podataka je nešto što zabrinjava sve više ljudi svakim danom i sa većim intenzitetom. Sve je veća količina ličnih podataka koje pohranjujemo u "oblaku" i kojima bi svako mogao pristupiti, u većini slučajeva, samo znajući naše korisničko ime i lozinku. Otuda onDanas objavljene informacije su posebno ozbiljne, kako kvalitativno tako i zbog obima korisnika na koje bi to moglo utjecati.
Prema objavio je ArsTechnica, Googleov istraživač sigurnosti Tavis Ormandy otkrio je da je sigurnosni propust u Cloudflareu, mreži za isporuku sadržaja koju koriste milioni web stranica, omogućio curenje korisničkih podataka sa više od 3.400 web stranica i njihovo pohranjivanje u keš pretraživača.
Usluga koju koristi 5,5 miliona web stranica možda je procurila u lozinke i tokene za autentifikaciju.
Uzorak podataka koji je Ormandy vidio. Ovo je privatna poruka sa stranice za upoznavanje okcupid | SLIKA: ArsTechnica
Među tim pogođenim web stranicama su popularne kompanije poput Fitbita ili Ubera, kao i 1Password, koji je, međutim, već izjavio da podaci svojih korisnika ostaju sigurni zahvaljujući end-to-end enkripciji.
Primijetili smo ključeve za šifriranje, kolačiće, lozinke, POST dijelove podataka, pa čak i HTTPS zahtjeve za druge velike web lokacije hostovane u oblaku od drugih korisnika. Kada smo shvatili šta vidimo i implikacije, odmah smo stali i kontaktirali cloudflare obezbeđenje.
Cloudflare priznaje grešku, ali bi mogao potcijeniti njenu ozbiljnost
Cloudflare je već priznao da se sigurnosni propust zaista dogodio, ali i Tavis Ormandy i drugi istraživači sigurnosti vjeruju da kompanija potcjenjuje ozbiljnost incidenta. U pošta Objavljeno na blogu kompanije pod naslovom "Izvještaj o incidentu o curenju memorije uzrokovanom greškom Cloudflare parsera", Cloudflare priznaje da je kršenje bilo ozbiljno, ali također napominje da Nema dokaza da je greška iskorišćena.
Greška je bila ozbiljna jer je memorija koja je procurila mogla sadržavati privatne informacije i zato što bi ih tražilice keširali. Također nismo otkrili nikakve dokaze o zlonamjernom korištenju greške ili druge izvještaje o njenom postojanju.
Ormandy nije bio spor da ponudi a odgovor na izjave kompanije u kojima se navodi da objava koju je objavio Cloudflare pruža odličnu "postmortem" analizu, ali u isto vrijeme "znatno smanjuje rizik za kupce".
Preporučuje se promjena lozinki
Ryan Lackey, još jedan poznati istraživač sigurnosti, slaže se sa Ormandyjevim izjavama, navodeći da, Iako je vjerovatnoća otkrivanja lozinki mala, taj rizik postoji, pa se korisnicima preporučuje da ih promijene.
Google, Bing, Yahoo i drugi pretraživači već su brisali keširane podatke, stoga su činjenice sada objavljene, ali ArsTechnica napominje da neki keširani podaci i dalje ostaju.