Una vez más, käyttäjätiedot vähintään 3.400 verkkosivustolta, mukaan lukien Fitbit, Une ja enintään 1Password, on paljastettuTällä kertaa Cloudflare-tietoturvaongelman vuoksi on suositeltavaa vaihtaa käyttöoikeussalasanat välittömästi.
Käyttäjätietoja on ollut yli 3.400 verkkosivustolta hakukoneet suodattavat ja tallentavat välimuistiin tuhannen verkkosivuston käyttämän sisällönjakeluverkon Cloudflare-tietoturvaongelman seurauksena. Kuukausien ajan tämä on vaikuttanut verkkosivustoihin, kuten Uber, Fitbit tai treffisivusto OKCupid tuhansien joukossa. 1Password käyttää myös Cloudflare-ohjelmaa, mutta yritys väittää, ettei sen asiakkaiden tietoja ole paljastettu end-to-end-salauksen ansiosta.
Turvallisuusvirhe, joka paljastaa satojen tuhansien käyttäjien tiedot
Henkilötietojemme turvallisuus ja yksityisyys huolestuttavat yhä enemmän ihmisiä päivittäin. Yhä enemmän henkilökohtaisia tietoja, joita tallennamme "pilveen" ja joihin kuka tahansa voi saada pääsyn useimmissa tapauksissa vain tietämällä käyttäjänimesi ja salasanamme. Siksi ltänään julkaistu tieto on erityisen vakavaa, sekä laadullisesti että käyttäjien määrän suhteen, johon se voi vaikuttaa.
Mukaan on julkaistu ArsTechnica, Googlen tietoturvatutkija Tavis Ormandy huomasi, että miljoonien verkkosivustojen käyttämän Cloudflaren, sisältöjakeluverkon tietoturva-aukko on sallinut yli 3.400 verkkosivuston käyttäjätietojen vuotamisen ja tallentamisen hakukoneiden välimuistiin.
5,5 miljoonan verkkosivuston käyttämässä palvelussa voi olla vuotanut salasanoja ja todennustunnuksia.
Näyte Ormandyn näkemistä tiedoista. Tämä on yksityisviesti treffisivustolta okcupid | KUVA: ArsTechnica
Kyseisten verkkosivustojen joukossa on sellaisia suosittuja yrityksiä kuin Fitbit tai Uber sekä 1Password, joka on kuitenkin jo todennut, että sen käyttäjien tiedot pysyvät turvassa end-to-end-salauksen ansiosta.
Olemme nähneet salausavaimia, evästeitä, salasanoja, POST-tietokappaleita ja jopa HTTPS-pyyntöjä muille suosituimmille pilvipilven isännöimille sivustoille muilta käyttäjiltä. Kun ymmärsimme näkemämme ja sen seuraukset, pysähdyimme välittömästi ja otimme yhteyttä cloudflare-tietoturvaan.
Cloudflare myöntää virheen, mutta voi aliarvioida sen vakavuuden
Cloudflare on jo myöntänyt, että turvallisuusvirhe on todellakin tapahtunut, mutta sekä Tavis Ormandy että muut turvallisuustutkijat uskovat, että yritys aliarvioi tapahtuman vakavuuden. Jonkin sisällä posti Lähetetty yrityksen blogiin otsikolla "Tapahtumaraportti Cloudflare-jäsenninvirheen aiheuttamasta muistivuodosta", Cloudflare myöntää, että rikkomus oli vakava, mutta toteaa myös, että ei ole todisteita virheen hyödyntämisestä.
Virhe oli vakava, koska vuotanut muisti saattoi sisältää yksityisiä tietoja ja koska hakukoneet olisivat tallentaneet sen välimuistiin. Emme ole myöskään löytäneet todisteita virheen pahasta hyödyntämisestä tai muita raportteja sen olemassaolosta.
Ormandy tarjosi nopeasti a vastaus yrityksen lausuntoihin, joissa todetaan, että Cloudflaren julkaisema viesti tarjoaa erinomaisen "postmortem" -analyysin, mutta samalla "vähentää huomattavasti asiakkaille aiheutuvaa riskiä".
On suositeltavaa vaihtaa salasanat
Ryan Lackey, toinen arvostettu turvallisuustutkija, on samaa mieltä Ormandyn lausunnoista ja toteaa, että Vaikka salasanojen altistumisen todennäköisyys on pieni, riski on olemassa, joten käyttäjiä kehotetaan vaihtamaan ne.
Google, Bing, Yahoo ja muut hakukoneet ovat jo tyhjentäneet välimuistitiedot, joten tosiasiat on nyt julkistettu, mutta ArsTechnica huomauttaa, että välimuistitietoja on edelleen jäljellä.