הפרת אבטחה חושפת את נתוני המשתמשים ביותר מ -3.400 אתרים

Jose Alfocea

4 דקות

Una vez más, נתוני משתמשים לפחות מ -3.400 אתרים, כולל Fitbit, Une ועד 1Password, נחשפוהפעם, בגלל פגם באבטחה של Cloudflare, מומלץ לשנות באופן מיידי את סיסמאות הגישה.

נתוני משתמשים ביותר מ -3.400 אתרים היו מסוננים ושומרים במטמון על ידי מנועי חיפוש כתוצאה מבאג אבטחה ב- Cloudflare, רשת הפצת תוכן המשמשת אלפי אתרים. במשך חודשים מושפעים אתרי אינטרנט כמו אובר, פיטביט או אתר ההיכרויות OKCupid בקרב אלפים. 1Password משתמשת גם ב- Cloudflare, אולם החברה טוענת שבזכות ההצפנה מקצה לקצה הנתונים של לקוחותיה לא נחשפו.

ליקוי אבטחה החושף את הנתונים של מאות אלפי משתמשים

האבטחה והפרטיות של הנתונים האישיים שלנו הם משהו שיותר ויותר אנשים דואגים לו מדי יום. יותר ויותר נתונים אישיים שאנו שומרים ב"ענן "ואליהם כל אחד יכול לקבל גישה, ברוב המקרים, רק על ידי ידיעת שם המשתמש והסיסמה שלנו. מכאן להמידע המתפרסם היום הוא חמור במיוחד, הן איכותית והן מבחינת נפח המשתמשים זה יכול להשפיע.

על ידי פרסמה ArsTechnicaחוקר האבטחה של גוגל, טוויס אורמנדי, גילה כי פגם אבטחה ב- Cloudflare, רשת הפצת התוכן המשמשת מיליוני אתרים, אפשר לדלף נתוני משתמשים ביותר מ -3.400 אתרים ולאחסן אותם במטמון מנועי החיפוש.

השירות המשמש 5,5 מיליון אתרים עשוי להזליף סיסמאות ואסימונים לאימות.

מדגם של הנתונים שאורמנדי ראה. זו הודעה פרטית מאתר ההיכרויות okcupid | תמונה: ArsTechnica

בין האתרים המושפעים יש חברות פופולריות כמו Fitbit או Uber, כמו גם 1Password, אשר, עם זאת, כבר הצהירה כי נתוני המשתמשים שלה נותרים בטוחים בזכות הצפנה מקצה לקצה.

ראינו מפתחות הצפנה, עוגיות, סיסמאות, נתוני POST ואפילו בקשות HTTPS עבור אתרים אחרים המארחים ענן זיקוק של משתמשים אחרים. לאחר שהבנו מה אנו רואים וההשלכות, עצרנו מייד ויצרנו קשר עם אבטחת הענן.

Cloudflare מודה בפגם, אך יכול להמעיט בערך חומרתו

Cloudflare כבר הודו כי הפגם הביטחוני אכן התרחש, אך גם תוויס אורמנדי וגם חוקרי אבטחה אחרים סבורים כי החברה מזלזל בחומרת האירוע. ב פוסט פורסם בבלוג של החברה תחת הכותרת "דוח אירוע על דליפת זיכרון שנגרם על ידי באג המנתח של Cloudflare", Cloudflare מודה כי ההפרה הייתה חמורה, אך גם מציין כי אין עדויות לכך שהבאג נוצל.

השגיאה הייתה חמורה מכיוון שהזיכרון שהודלף יכול להכיל מידע פרטי ומכיוון שהוא היה נשמר במטמון מנועי החיפוש. כמו כן, לא גילינו עדויות לניצול זדוני של הבאג או דיווחים אחרים על קיומו.

אורמנדי מיהר להציע respuesta להצהרות החברה שקבעו כי הפוסט שפרסמה Cloudflare מציע ניתוח מעולה של "שלאחר המוות" אך יחד עם זאת "מפחית קשות את הסיכון ללקוחות".

מומלץ להחליף סיסמאות

ריאן לקי, חוקר אבטחה יוקרתי נוסף, מסכים עם הצהרותיו של אורמנדי וקובע כי, למרות שההסתברות לחשיפת סיסמאות נמוכה, הסיכון הזה קיים, ולכן המשתמשים מוזמנים לשנות אותם.

גוגל, בינג, יאהו ומנועי חיפוש אחרים כבר מנקים את הנתונים שנשמרו במטמון, ומכאן שהעובדות הוכרזו כעת, אך חברת ArsTechnica מציינת שעדיין נותרו כמה נתונים במטמון.


עקוב אחרינו בחדשות Google

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי על הנתונים: AB Internet Networks 2008 SL
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.