Una vez más, data pengguna dari setidaknya 3.400 situs web termasuk Fitbit, Une dan hingga 1Password, telah terungkapKali ini, karena kelemahan keamanan Cloudflare, disarankan untuk segera mengubah kata sandi akses.
Data pengguna dari lebih dari 3.400 situs web telah difilter dan di-cache oleh mesin telusur sebagai akibat dari bug keamanan di Cloudflare, jaringan distribusi konten yang digunakan oleh ribuan situs web. Selama berbulan-bulan, situs web seperti Uber, Fitbit, atau situs kencan OKCupid di antara ribuan, telah terpengaruh. 1Password juga menggunakan Cloudflare, namun perusahaan mengklaim bahwa berkat enkripsi ujung-ke-ujungnya, data pelanggannya belum terungkap.
Cacat keamanan yang mengekspos data ratusan ribu pengguna
Keamanan dan privasi data pribadi kami adalah sesuatu yang menjadi perhatian lebih banyak orang setiap hari. Semakin banyak data pribadi yang kami simpan di "awan" dan yang dapat diakses siapa saja, dalam banyak kasus, hanya dengan mengetahui nama pengguna dan kata sandi kami. Oleh karena itu linformasi yang diterbitkan hari ini sangat serius, baik secara kualitatif maupun dalam hal volume pengguna yang dapat terpengaruh.
Oleh telah terbit ArsTechnica, Peneliti keamanan Google Tavis Ormandy menemukan bahwa kelemahan keamanan di Cloudflare, jaringan distribusi konten yang digunakan oleh jutaan situs web, telah memungkinkan kebocoran data pengguna dari lebih dari 3.400 situs web. Dan disimpan dalam cache mesin pencari.
Layanan yang digunakan oleh 5,5 juta situs web mungkin telah membocorkan kata sandi dan token otentikasi.
Contoh data yang dilihat Ormandy. Ini adalah pesan pribadi dari situs kencan okcupid | GAMBAR: ArsTechnica
Di antara situs web yang terpengaruh tersebut adalah perusahaan populer seperti Fitbit atau Uber, serta 1Password, yang, bagaimanapun, telah menyatakan bahwa data penggunanya tetap aman berkat enkripsi ujung ke ujung.
Kami telah mengamati kunci enkripsi, cookie, kata sandi, potongan data POST, dan bahkan permintaan HTTPS untuk situs yang dihosting cloudflare top lainnya dari pengguna lain. Setelah kami memahami apa yang kami lihat dan implikasinya, kami segera berhenti dan menghubungi keamanan cloudflare.
Cloudflare mengakui kekurangannya, tetapi bisa meremehkan tingkat keparahannya
Cloudflare telah mengakui bahwa kesalahan keamanan memang terjadi, tetapi Tavis Ormandy dan peneliti keamanan lainnya percaya bahwa perusahaan meremehkan tingkat keparahan insiden tersebut. Di sebuah pos Diposting di blog perusahaan dengan judul "Laporan insiden pada kebocoran memori yang disebabkan oleh bug parser Cloudflare", Cloudflare mengakui bahwa pelanggaran tersebut serius, tetapi juga mencatat bahwa tidak ada bukti bahwa bug tersebut telah dieksploitasi.
Kesalahannya serius karena memori yang bocor dapat berisi informasi pribadi dan karena itu akan di-cache oleh mesin pencari. Kami juga belum menemukan bukti eksploitasi berbahaya dari bug atau laporan lain tentang keberadaannya.
Ormandy dengan cepat menawarkan tanggapan ke pernyataan perusahaan yang menyatakan bahwa posting yang diterbitkan oleh Cloudflare menawarkan analisis "postmortem" yang sangat baik tetapi pada saat yang sama "sangat mengurangi risiko bagi pelanggan."
Dianjurkan untuk mengubah kata sandi
Ryan Lackey, peneliti keamanan bergengsi lainnya, setuju dengan pernyataan Ormandy, yang menyatakan bahwa, Meskipun kemungkinan kata sandi terungkap rendah, risiko itu ada, jadi pengguna didorong untuk mengubahnya.
Google, Bing, Yahoo, dan mesin pencari lainnya telah membersihkan data yang di-cache, oleh karena itu faktanya sekarang telah dipublikasikan, tetapi ArsTechnica mencatat bahwa beberapa data cache masih ada.