Una vez más, Έχουν εκτεθεί δεδομένα χρηστών από τουλάχιστον 3.400 ιστότοπους, συμπεριλαμβανομένων των Fitbit, Une και έως 1PasswordΑυτή τη φορά, λόγω ενός ελαττώματος ασφαλείας του Cloudflare, συνιστάται η άμεση αλλαγή των κωδικών πρόσβασης.
Τα δεδομένα χρηστών από περισσότερους από 3.400 ιστότοπους έχουν γίνει φιλτραρισμένο και προσωρινά αποθηκευμένο από μηχανές αναζήτησης ως αποτέλεσμα ενός σφάλματος ασφαλείας στο Cloudflare, ενός δικτύου διανομής περιεχομένου που χρησιμοποιείται από χιλιάδες ιστότοπους. Για μήνες, έχουν επηρεαστεί ιστότοποι όπως το Uber, το Fitbit ή ο ιστότοπος γνωριμιών OKCupid μεταξύ χιλιάδων. Το 1Password χρησιμοποιεί επίσης το Cloudflare, ωστόσο η εταιρεία ισχυρίζεται ότι χάρη στην κρυπτογράφηση από άκρο σε άκρο, τα δεδομένα πελατών της δεν έχουν εκτεθεί.
Ένα ελάττωμα ασφαλείας που εκθέτει τα δεδομένα εκατοντάδων χιλιάδων χρηστών
Η ασφάλεια και το απόρρητο των προσωπικών μας δεδομένων είναι κάτι που αφορά όλο και περισσότερους ανθρώπους κάθε μέρα. Όλο και περισσότερα προσωπικά δεδομένα αποθηκεύουμε στο "cloud" και στα οποία ο καθένας θα μπορούσε να έχει πρόσβαση, στις περισσότερες περιπτώσεις, απλώς γνωρίζοντας το όνομα χρήστη και τον κωδικό πρόσβασής μας. Ως εκ τούτου, lΟι πληροφορίες που δημοσιεύονται σήμερα είναι ιδιαίτερα σοβαρές, τόσο ποιοτικά όσο και ως προς τον όγκο των χρηστών που θα μπορούσε να επηρεάσει.
Με έχει δημοσιεύσει ArsTechnica, Ο ερευνητής ασφάλειας της Google, Tavis Ormandy, ανακάλυψε ότι ένα ελάττωμα ασφαλείας στο Cloudflare, το δίκτυο διανομής περιεχομένου που χρησιμοποιείται από εκατομμύρια ιστότοπους, επέτρεψε τη διαρροή δεδομένων χρηστών από περισσότερους από 3.400 ιστότοπους.
Η υπηρεσία που χρησιμοποιείται από 5,5 εκατομμύρια ιστότοπους ενδέχεται να έχει διαρρεύσει κωδικούς πρόσβασης και διακριτικά ελέγχου ταυτότητας.
Ένα δείγμα των δεδομένων που είδε ο Ormandy. Αυτό είναι ένα ιδιωτικό μήνυμα από τον ιστότοπο γνωριμιών okcupid | ΕΙΚΟΝΑ: ArsTechnica
Μεταξύ αυτών των ιστότοπων που επηρεάζονται είναι τόσο δημοφιλείς εταιρείες όπως το Fitbit ή το Uber, καθώς και το 1Password, το οποίο, ωστόσο, έχει ήδη δηλώσει ότι τα δεδομένα των χρηστών του παραμένουν ασφαλή χάρη στην κρυπτογράφηση από άκρο σε άκρο.
Παρατηρήσαμε κλειδιά κρυπτογράφησης, cookie, κωδικούς πρόσβασης, κομμάτια δεδομένων POST, ακόμη και αιτήματα HTTPS για άλλους κορυφαίους ιστότοπους που φιλοξενούνται στο cloudflare από άλλους χρήστες. Μόλις καταλάβαμε τι βλέπαμε και τις επιπτώσεις, σταματήσαμε αμέσως και επικοινωνήσαμε με την ασφάλεια του cloudflare.
Το Cloudflare παραδέχεται το ελάττωμα, αλλά θα μπορούσε να υποτιμήσει τη σοβαρότητά του
Το Cloudflare έχει ήδη παραδεχτεί ότι το ελάττωμα ασφαλείας έχει πράγματι συμβεί, αλλά τόσο ο Tavis Ormandy όσο και άλλοι ερευνητές ασφαλείας πιστεύουν ότι η εταιρεία υποτιμά τη σοβαρότητα του συμβάντος. Σε ένα θέση Δημοσιεύτηκε στο ιστολόγιο της εταιρείας με τον τίτλο "Αναφορά περιστατικών σχετικά με τη διαρροή μνήμης που προκλήθηκε από σφάλμα Cloudflare parser", το Cloudflare αναγνωρίζει ότι η παράβαση ήταν σοβαρή, αλλά σημειώνει επίσης ότι δεν υπάρχει καμία ένδειξη ότι το σφάλμα έχει αξιοποιηθεί.
Το σφάλμα ήταν σοβαρό επειδή η διαρροή μνήμη θα μπορούσε να περιέχει ιδιωτικές πληροφορίες και επειδή θα είχε αποθηκευτεί προσωρινά στην αποθήκευση από μηχανές αναζήτησης. Επίσης, δεν έχουμε ανακαλύψει στοιχεία για κακόβουλη εκμετάλλευση του σφάλματος ή άλλες αναφορές για την ύπαρξή του.
Ο Ormandy ήταν γρήγορος να προσφέρει ένα απάντηση στις δηλώσεις της εταιρείας που δηλώνουν ότι η ανάρτηση που δημοσιεύθηκε από το Cloudflare προσφέρει εξαιρετική ανάλυση «postmortem», αλλά ταυτόχρονα «μειώνει σοβαρά τον κίνδυνο για τους πελάτες».
Συνιστάται η αλλαγή κωδικών πρόσβασης
Ο Ryan Lackey, ένας άλλος κύριος ερευνητής ασφαλείας, συμφωνεί με τις δηλώσεις του Ormandy, δηλώνοντας ότι, Αν και η πιθανότητα έκθεσης των κωδικών πρόσβασης είναι χαμηλή, αυτός ο κίνδυνος υπάρχει, επομένως οι χρήστες ενθαρρύνονται να τους αλλάξουν.
Το Google, το Bing, το Yahoo και άλλες μηχανές αναζήτησης έχουν ήδη εκκαθαρίσει τα προσωρινά αποθηκευμένα δεδομένα, επομένως τα γεγονότα έχουν πλέον δημοσιοποιηθεί, αλλά Η ArsTechnica σημειώνει ότι ορισμένα αποθηκευμένα δεδομένα παραμένουν.