ऊना वेज मसे, Fitbit, Une और 3.400Password सहित कम से कम 1 वेबसाइटों के उपयोगकर्ता डेटा उजागर किए गए हैं, यह समय, क्लाउडफ़ेयर सुरक्षा उल्लंघन के कारण होता है, इसलिए इसे तुरंत एक्सेस पासवर्ड बदलने की सलाह दी जाती है।
3.400 से अधिक वेबसाइटों के उपयोगकर्ता डेटा हैं फ़िल्टर और खोज इंजन द्वारा कैश किया गया क्लाउडफेयर में एक सुरक्षा बग के परिणामस्वरूप, एक सामग्री वितरण नेटवर्क जो हजारों वेबसाइटों द्वारा उपयोग किया जाता है। महीनों से, हज़ारों के बीच उबर, फिटबिट या डेटिंग साइट ओकेक्यूपिड जैसी वेबसाइट प्रभावित हुई हैं। 1Password Cloudflare का उपयोग भी करता है, हालांकि कंपनी का दावा है कि इसके एंड-टू-एंड एन्क्रिप्शन के लिए धन्यवाद, इसके ग्राहकों के डेटा को उजागर नहीं किया गया है।
एक सुरक्षा दोष जो सैकड़ों हजारों उपयोगकर्ताओं के डेटा को उजागर करता है
हमारे व्यक्तिगत डेटा की सुरक्षा और गोपनीयता ऐसी चीज़ है जो हर दिन अधिक से अधिक लोगों को चिंतित करती है। अधिक से अधिक व्यक्तिगत डेटा जिसे हम "क्लाउड" में संग्रहीत करते हैं और जिसमें कोई भी पहुंच सकता है, ज्यादातर मामलों में, बस हमारे उपयोगकर्ता नाम और पासवर्ड को जानकर। इसलिए एलआज प्रकाशित जानकारी विशेष रूप से गंभीर है, दोनों गुणात्मक रूप से और उपयोगकर्ताओं की मात्रा के संदर्भ में यह प्रभावित कर सकता है।
द्वारा तैनात ArsTechnica, Google सुरक्षा शोधकर्ता टैविस ओरमंडी ने पाया कि लाखों वेबसाइटों द्वारा उपयोग किए जाने वाले सामग्री वितरण नेटवर्क Cloudflare में एक सुरक्षा दोष, ने 3.400 से अधिक वेबसाइटों से उपयोगकर्ता डेटा को लीक होने और खोज इंजनों के कैश में संग्रहीत करने की अनुमति दी है।
5,5 मिलियन वेबसाइटों द्वारा उपयोग की जाने वाली सेवा में पासवर्ड और प्रमाणीकरण टोकन लीक हो सकते हैं।
डेटा ऑरमंडी का एक नमूना देखा। यह डेटिंग साइट okcupid से एक निजी संदेश है छवि: ArsTechnica
उन प्रभावित वेबसाइटों में फिटबिट या उबर जैसी लोकप्रिय फर्में हैं, साथ ही 1Password, जो, हालांकि, पहले ही बता चुका है कि इसके उपयोगकर्ताओं का डेटा एंड-टू-एंड एन्क्रिप्शन के लिए सुरक्षित रहता है।
हमने अन्य उपयोगकर्ताओं से शीर्ष क्लाउडफ़ेयर-होस्टेड साइटों के लिए एन्क्रिप्शन कुंजियाँ, कुकीज़, पासवर्ड, POST डेटा हिस्सा और यहां तक कि HTTPS अनुरोध देखे हैं। एक बार जब हम समझ गए कि हम क्या देख रहे हैं और निहितार्थ, हमने तुरंत बंद कर दिया और क्लाउडफ़ेयर सुरक्षा से संपर्क किया।
Cloudflare दोष स्वीकार करता है, लेकिन इसकी गंभीरता को कम करके आंका जा सकता है
क्लाउडफ्लेयर ने पहले ही स्वीकार किया है कि सुरक्षा दोष वास्तव में हुआ था, लेकिन तावीस ओरमंडी और अन्य सुरक्षा शोधकर्ताओं का मानना है कि कंपनी घटना की गंभीरता को कम कर रही है। में पद शीर्षक के तहत कंपनी के ब्लॉग पर पोस्ट किया गया "क्लाउडफ़्लियर पार्सर बग के कारण स्मृति रिसाव पर दुर्घटना की रिपोर्ट", क्लाउडफ्लेर स्वीकार करता है कि उल्लंघन गंभीर था, लेकिन यह भी नोट करता है कि इस बात का कोई सबूत नहीं है कि बग का शोषण किया गया है.
त्रुटि गंभीर थी क्योंकि लीक की गई मेमोरी में निजी जानकारी हो सकती है और क्योंकि यह खोज इंजन द्वारा कैश की गई होगी। हमने बग या उसके अस्तित्व की अन्य रिपोर्टों के दुर्भावनापूर्ण कारनामों का कोई सबूत नहीं खोजा है।
ऑरमैंडी एक प्रस्ताव देने के लिए जल्दी था उत्तर कंपनी के बयानों के अनुसार कि Cloudflare द्वारा प्रकाशित पोस्ट एक उत्कृष्ट विश्लेषण "पोस्टमॉर्टम" प्रस्तुत करता है, लेकिन साथ ही "गंभीरता से ग्राहकों के लिए जोखिम को कम करता है।"
पासवर्ड बदलने की सिफारिश की जाती है
एक अन्य प्रतिष्ठित सुरक्षा शोधकर्ता रेयान लेके ने ओर्मंडी के बयानों से सहमत होते हुए कहा कि, यद्यपि पासवर्ड के उजागर होने की संभावना कम है, लेकिन यह जोखिम मौजूद है, इसलिए उपयोगकर्ताओं को उन्हें बदलने के लिए प्रोत्साहित किया जाता है.
Google, बिंग, याहू और अन्य खोज इंजन पहले से ही कैश्ड डेटा को साफ़ कर रहे हैं, इसलिए अब तथ्यों को सार्वजनिक कर दिया गया है, लेकिन ArsTechnica नोट करता है कि कुछ कैश किए गए डेटा अभी भी बने हुए हैं.