Una vez más, on paljastatud kasutajaandmed vähemalt 3.400 veebisaidilt, sealhulgas Fitbit, Une ja kuni 1PasswordSeekord on Cloudflare turvarikkumise tõttu soovitatav juurdepääsuparoolid viivitamatult muuta.
Kasutajaandmeid on olnud enam kui 3.400 veebisaidilt otsingumootorid filtreerivad ja vahemällu salvestavad tuhandete veebisaitide kasutatava sisulevi võrgu Cloudflare turvavea tagajärjel. Kuude jooksul on see mõjutanud veebisaite nagu Uber, Fitbit või tutvumissait OKCupid tuhandete seas. 1Password kasutab ka Cloudflare'i, kuid ettevõte väidab, et tänu oma täielikule krüptimisele pole tema klientide andmeid avalikustatud.
Turvaviga, mis paljastab sadade tuhandete kasutajate andmed
Meie isikuandmete turvalisus ja privaatsus on miski, mis puudutab iga päev üha rohkem inimesi. Üha rohkem isikuandmeid, mida me salvestame "pilve" ja millele kõigil oleks juurdepääs, enamasti ainult meie kasutajanime ja parooli teades. Seega ltäna avaldatud teave on eriti tõsine, nii kvalitatiivselt kui ka kasutajate arvu osas, mida see võiks mõjutada.
Poolt on avaldanud ArsTechnica, Avastas Google'i turvauurija Tavis Ormandy, et miljonite veebisaitide poolt kasutatava sisulevi võrgu Cloudflare turvaviga on lubanud lekitada rohkem kui 3.400 veebisaidi kasutajaandmeid ja salvestada need otsingumootorite vahemällu.
5,5 miljoni veebisaidi kasutataval teenusel võib olla lekkinud paroole ja autentimismärke.
Näidis andmetest, mida Ormandy nägi. See on privaatne kiri tutvumissaidilt okcupid | PILT: ArsTechnica
Mõjutatud veebisaitide hulgas on selliseid populaarseid ettevõtteid nagu Fitbit või Uber, aga ka 1Password, mis on aga juba öelnud, et selle kasutajate andmed jäävad tänu otsast lõpuni krüptimisele ohutuks.
Oleme jälginud teiste kasutajate krüptovõtmeid, küpsiseid, paroole, POST-i andmepakke ja isegi HTTPS-i taotlusi teiste pilvelaigutusega hostitud tippsaitide jaoks. Kui olime aru saanud, mida nägime, ja selle tagajärgi, peatusime kohe ja võtsime ühendust pilvepilve turvalisusega.
Cloudflare tunnistab viga, kuid võib selle tõsidust alahinnata
Cloudflare on juba tunnistanud, et turvaviga on tõepoolest aset leidnud, kuid nii Tavis Ormandy kui ka teised turvauurijad usuvad, et ettevõte alahindab juhtumi tõsidust. Sees pärast Ettevõtte ajaveebi pealkirjaga "Cloudflare parseri vea põhjustatud mälulekke juhtumite aruanne" postitatuna tunnistab Cloudflare, et rikkumine oli tõsine, kuid märgib ka, et pole tõendeid selle kohta, et viga oleks ära kasutatud.
Viga oli tõsine, kuna lekkinud mälu võis sisaldada privaatset teavet ja kuna otsingumootorid oleksid selle vahemällu salvestanud. Samuti ei ole me avastanud tõendeid vea pahatahtlikust ärakasutamisest ega muid teateid selle olemasolust.
Ormandy pakkus kiiresti a vastus ettevõtte avaldustele, milles öeldakse, et Cloudflare'i avaldatud postitus pakub suurepärast "surmajärgset" analüüsi, kuid samal ajal "vähendab oluliselt klientide riski".
Paroole on soovitatav vahetada
Teine mainekas julgeoleku-uurija Ryan Lackey nõustub Ormandy väidetega, öeldes, et Kuigi paroolide paljastamise tõenäosus on väike, on see oht olemas, seetõttu soovitatakse kasutajatel neid muuta.
Google, Bing, Yahoo ja muud otsingumootorid on vahemällu salvestatud andmed juba tühjendanud, seega on faktid nüüd avalikustatud, kuid ArsTechnica märgib, et mõned vahemällu salvestatud andmed on endiselt alles.