Une fois de plus, les données utilisateur d'au moins 3.400 sites Web, y compris Fitbit, Une et jusqu'à 1Password, ont été exposées, cette fois, en raison d'une faille de sécurité Cloudflare, il est donc recommandé de changer immédiatement les mots de passe d'accès.
Les données utilisateur de plus de 3.400 sites Web ont été filtré et mis en cache par les moteurs de recherche à la suite d'un bogue de sécurité dans Cloudflare, un réseau de distribution de contenu utilisé par des milliers de sites Web. Depuis des mois, des sites Web comme Uber, Fitbit ou le site de rencontre OKCupid parmi des milliers, ont été touchés. 1Password utilise également Cloudflare, mais la société affirme que grâce à son cryptage de bout en bout, les données de ses clients n'ont pas été exposées.
Une faille de sécurité qui expose les données de centaines de milliers d'utilisateurs
La sécurité et la confidentialité de nos données personnelles concernent chaque jour de plus en plus de personnes. De plus en plus de données personnelles que nous stockons dans «le cloud» et auxquelles n'importe qui pourrait avoir accès, dans la plupart des cas, simplement en connaissant notre nom d'utilisateur et notre mot de passe. D'où lles informations publiées aujourd'hui sont particulièrement sérieuses, à la fois qualitativement et en termes de volume d'utilisateurs qu'elle pourrait affecter.
D'après posté ArsTechnica, Tavis Ormandy, chercheur en sécurité chez Google, a découvert qu'une faille de sécurité dans Cloudflare, le réseau de distribution de contenu utilisé par des millions de sites Web, a permis aux données des utilisateurs de plus de 3.400 sites Web d'être divulguées et stockées dans le cache des moteurs de recherche.
Le service utilisé par 5,5 millions de sites Web peut avoir divulgué des mots de passe et des jetons d'authentification.
Un échantillon des données vues par Ormandy. Ceci est un message privé du site de rencontre okcupid | IMAGE: ArsTechnica
Parmi ces sites Web concernés figurent des entreprises populaires telles que Fitbit ou Uber, ainsi que 1Password, qui, cependant, a déjà déclaré que les données de ses utilisateurs restent en sécurité grâce au cryptage de bout en bout.
Nous avons vu des clés de chiffrement, des cookies, des mots de passe, des segments POST et même des requêtes HTTPS pour d'autres sites hébergés par cloudflare de la part d'autres utilisateurs. Une fois que nous avons compris ce que nous voyions et les implications, nous nous sommes immédiatement arrêtés et avons contacté la sécurité cloudflare.
Cloudflare admet la faille, mais pourrait sous-estimer sa gravité
Cloudflare a déjà admis que la faille de sécurité s'était effectivement produite, mais Tavis Ormandy et d'autres chercheurs en sécurité estiment que l'entreprise sous-estime la gravité de l'incident. Une poster Posté sur le blog de l'entreprise sous le titre "Rapport d'incident sur une fuite de mémoire causée par le bogue de l'analyseur Cloudflare", Cloudflare reconnaît que la violation était grave, mais note également que il n'y a aucune preuve que le bogue a été exploité.
L'erreur était grave parce que la mémoire divulguée pouvait contenir des informations privées et parce qu'elle aurait été mise en cache par les moteurs de recherche. Nous n'avons également découvert aucune preuve d'exploits malveillants du bogue ou d'autres rapports sur son existence.
Ormandy n'a pas tardé à offrir un respuesta aux déclarations de la société que le post publié par Cloudflare offre une excellente analyse «post-mortem» mais en même temps «réduit sérieusement le risque pour les clients».
Il est recommandé de changer les mots de passe
Ryan Lackey, un autre chercheur prestigieux en sécurité, est d'accord avec les déclarations d'Ormandy, affirmant que, Bien que la probabilité que les mots de passe soient exposés soit faible, ce risque existe, les utilisateurs sont donc encouragés à les modifier.
Google, Bing, Yahoo et d'autres moteurs de recherche ont déjà effacé les données mises en cache, les faits ont donc été rendus publics, mais ArsTechnica note que certaines données mises en cache restent encore.