한 번 더 Fitbit, Une 및 심지어 3.400Password를 포함하여 최소 1개 웹사이트 사용자의 데이터가 노출되었습니다., 이 경우 Cloudflare 보안 침해로 인해 액세스 암호를 즉시 변경하는 것이 좋습니다.
3.400개가 넘는 웹사이트의 사용자 데이터가 검색 엔진에 의해 필터링 및 캐시됨 수천 개의 웹사이트에서 사용되는 콘텐츠 전송 네트워크인 Cloudflare의 보안 결함으로 인해 발생했습니다. 몇 달 동안 Uber, Fitbit 또는 OKCupid 데이트 사이트와 같은 수천 개의 웹사이트가 영향을 받았습니다. 1Password도 Cloudflare를 사용하지만 회사는 종단 간 암호화 덕분에 고객 데이터가 노출되지 않았다고 주장합니다.
수십만 명의 사용자 데이터를 노출시키는 보안 결함
개인 데이터의 보안 및 프라이버시는 매일 점점 더 많은 사람들을 걱정하고 있습니다. 점점 더 많은 개인 데이터가 "클라우드"에 저장되며 대부분의 경우 사용자 이름과 암호만 알면 누구나 액세스할 수 있습니다. 그러므로 그는오늘 공개된 정보는 특별한 중력입니다, 질적 수준과 영향을 미칠 수 있는 사용자의 양 때문입니다.
로 게시 ArsTechnica, Google 보안 연구원 Tavis Ormandy는 수백만 개의 웹사이트에서 사용하는 콘텐츠 전송 네트워크인 Cloudflare의 보안 결함으로 인해 3.400개 이상의 웹사이트에서 사용자 데이터가 유출되어 검색 엔진 캐시에 저장될 수 있음을 발견했습니다.
5,5만 웹사이트에서 사용하는 서비스에서 비밀번호와 인증 토큰이 유출되었을 수 있습니다.
Ormandy가 본 데이터 샘플. 이것은 okcupid 데이트 사이트에서 온 비공개 메시지입니다 | 이미지: ArsTechnica
영향을 받는 웹사이트 중에는 Fitbit이나 Uber, 1Password와 같은 인기 있는 회사가 있지만 종단 간 암호화 덕분에 사용자 데이터가 안전하게 유지된다고 이미 밝혔습니다.
다른 사용자의 cloudflare에서 호스팅되는 다른 상위 사이트에 대한 암호화 키, 쿠키, 암호, POST 데이터 청크 및 HTTPS 요청까지 관찰했습니다. 우리가 보고 있는 것과 그 의미를 이해한 후 우리는 즉시 중지하고 Cloudflare Security에 연락했습니다.
Cloudflare는 버그를 인정하지만 그 심각성을 과소 평가할 수 있습니다.
Cloudflare는 이미 보안 위반이 실제로 발생했음을 인정했지만 Tavis Ormandy와 다른 보안 연구원은 회사는 사고의 심각성을 과소평가하고 있습니다.. 안에 게시 회사 블로그에 "Cloudflare 파서 버그로 인한 메모리 누수 사건 보고서"라는 제목으로 게시된 Cloudflare는 침해가 심각했음을 인정하지만 다음과 같이 언급합니다. 버그가 악용되었다는 증거가 없습니다..
유출된 메모리에 개인 정보가 포함될 수 있고 검색 엔진에 의해 캐시되었을 수 있기 때문에 버그가 심각했습니다. 또한 버그를 악의적으로 악용한 증거나 그 존재에 대한 다른 보고도 발견하지 못했습니다.
Ormandy는 응답 Cloudflare가 게시한 게시물이 탁월한 "사후" 분석을 제공하지만 동시에 "고객에 대한 위험을 크게 줄인다"는 회사의 진술에 대해.
암호를 변경하는 것이 좋습니다
또 다른 저명한 보안 연구원인 Ryan Lackey는 Ormandy의 진술에 동의하며 다음과 같이 말했습니다. 비밀번호가 노출될 확률은 낮지만 그 위험성이 존재하므로 사용자는 비밀번호를 변경하는 것이 좋습니다..
Google, Bing, Yahoo 및 기타 검색 엔진은 이미 캐시된 데이터를 지우고 있으므로 지금은 사실이 나오지만 ArsTechnica는 일부 캐시된 데이터가 여전히 남아 있다고 지적합니다..