Una vez más, Izloženi su podaci korisnika s najmanje 3.400 web stranica, uključujući Fitbit, Une i do 1Password, ovaj put, zbog kršenja sigurnosti Cloudflarea, pa se preporučuje odmah promijeniti pristupne lozinke.
Korisnički podaci s više od 3.400 web stranica su filtrirali i predmemorirali pretraživači kao rezultat sigurnosne greške u Cloudflareu, mreži za distribuciju sadržaja koju koriste tisuće web stranica. Mjesecima su to pogođene internetske stranice poput Ubera, Fitbita ili web stranice za upoznavanje OKCupid među tisućama. 1Password također koristi Cloudflare, no tvrtka tvrdi da, zahvaljujući end-to-end šifriranju, podaci njegovih kupaca nisu izloženi.
Sigurnosna mana koja otkriva podatke stotina tisuća korisnika
Sigurnost i privatnost naših osobnih podataka nešto je što svakodnevno brine sve više i više ljudi. Sve više i više osobnih podataka pohranjujemo u "oblaku" i kojima bi svatko mogao pristupiti, u većini slučajeva, samo znajući naše korisničko ime i lozinku. Stoga lpodaci koji su danas objavljeni posebno su ozbiljni, kako kvalitativno, tako i u smislu broja korisnika na koje bi to moglo utjecati.
po objavio je ArsTechnica, Googleov istraživač sigurnosti Tavis Ormandy otkrio je da je sigurnosni propust u Cloudflareu, mreži za distribuciju sadržaja koju koriste milijuni web stranica, omogućio procurivanje korisničkih podataka s više od 3.400 web mjesta i njihovo pohranjivanje u predmemoriju pretraživača.
Usluga koju koristi 5,5 milijuna web stranica možda ima procurile lozinke i tokene za provjeru autentičnosti.
Uzorak podataka koje je Ormandy vidio. Ovo je privatna poruka sa stranice za upoznavanje okcupid | SLIKA: ArsTechnica
Među pogođenim web stranicama su takve popularne tvrtke kao što su Fitbit ili Uber, kao i 1Password, koji je, međutim, već izjavio da podaci njegovih korisnika ostaju sigurni zahvaljujući end-to-end šifriranju.
Vidjeli smo ključeve za šifriranje, kolačiće, lozinke, POST dijelove, pa čak i HTTPS zahtjeve za druge najpopularnije web lokacije s hostingom u oblaku od drugih korisnika. Kad smo shvatili što vidimo i implikacije, odmah smo se zaustavili i kontaktirali cloudflare sigurnost.
Cloudflare priznaje nedostatak, ali bi mogao podcijeniti njegovu ozbiljnost
Cloudflare je već priznao da se sigurnosni propust zaista dogodio, ali i Tavis Ormandy i drugi sigurnosni istraživači vjeruju u to tvrtka podcjenjuje ozbiljnost incidenta. U pošta Objavljeno na blogu tvrtke pod naslovom "Izvještaj o incidentu zbog curenja memorije uzrokovanog programskom pogreškom Cloudflare parsera", Cloudflare priznaje da je kršenje ozbiljno, ali također napominje nema dokaza da je greška iskorištena.
Pogreška je bila ozbiljna jer je procurila memorija mogla sadržavati privatne podatke i zato što bi je tražilice keširale. Također nismo otkrili nikakve dokaze o zlonamjernom iskorištavanju greške ili druga izvješća o njenom postojanju.
Ormandy je brzo ponudio odgovor na izjave tvrtke navodeći da objava koju je objavio Cloudflare nudi izvrsnu "postmortem" analizu, ali istodobno "ozbiljno smanjuje rizik za kupce".
Preporučuje se promjena lozinki
Ryan Lackey, još jedan prestižni istraživač sigurnosti, slaže se s Ormandyinim izjavama, rekavši da, Iako je vjerojatnost otkrivanja lozinki mala, taj rizik postoji, pa se korisnici potiču da ih promijene.
Google, Bing, Yahoo i druge tražilice već su očistile predmemorirane podatke, stoga su činjenice sada objavljene u javnosti, ali ArsTechnica napominje da neki predmemorirani podaci i dalje ostaju.