Una vez más, Ir atklāti lietotāju dati no vismaz 3.400 vietnēm, tostarp Fitbit, Une un līdz pat 1Password, šoreiz Cloudflare drošības pārkāpuma dēļ, tāpēc ieteicams nekavējoties nomainīt piekļuves paroles.
Lietotāju dati no vairāk nekā 3.400 vietnēm ir bijuši filtrē un kešatmiņā veic meklētājprogrammas drošības kļūdas rezultātā Cloudflare - satura izplatīšanas tīklā, kuru izmanto tūkstošiem vietņu. Jau vairākus mēnešus ir skartas tādas vietnes kā Uber, Fitbit vai iepazīšanās vietne OKCupid starp tūkstošiem. 1Password izmanto arī Cloudflare, tomēr uzņēmums apgalvo, ka, pateicoties tā pilnīgai šifrēšanai, tā klientu dati nav atklāti.
Drošības kļūda, kas atklāj simtiem tūkstošu lietotāju datus
Mūsu personas datu drošība un privātums ir tas, kas katru dienu uztrauc arvien vairāk cilvēku. Arvien vairāk personas datu, kurus mēs glabājam "mākonī" un kuriem ikviens var piekļūt, vairumā gadījumu, tikai zinot mūsu lietotājvārdu un paroli. Tādējādi lšodien publicētā informācija ir īpaši nopietna, gan kvalitatīvi, gan attiecībā uz lietotāju apjomu, ko tas varētu ietekmēt.
Ar ir publicējis ArsTechnica, Google drošības pētnieks Taviss Ormandijs atklāja, ka Cloudflare - satura izplatīšanas tīkla, kuru izmanto miljoniem vietņu, drošības trūkums ļāva nopludināt lietotāju datus no vairāk nekā 3.400 vietnēm un glabāt tos meklētājprogrammu kešatmiņā.
Pakalpojumā, ko izmanto 5,5 miljoni vietņu, iespējams, ir noplūdušas paroles un autentifikācijas marķieri.
Datu paraugs, ko redzēja Ormandija. Šī ir privāta ziņa no iepazīšanās vietnes okcupid | ATTĒLS: ArsTechnica
Starp ietekmētajām vietnēm ir tādas populāras firmas kā Fitbit vai Uber, kā arī 1Password, kas tomēr jau ir paziņojis, ka tā lietotāju dati joprojām ir droši, pateicoties pilnīgai šifrēšanai.
Mēs esam redzējuši šifrēšanas atslēgas, sīkfailus, paroles, POST gabalus un pat HTTPS pieprasījumus citām populārākajām mākoņainās vietnes mitinātām vietnēm no citiem lietotājiem. Kad sapratām, ko redzam, un tā sekas, nekavējoties apstājāmies un sazinājāmies ar cloudflare drošību.
Cloudflare atzīst trūkumu, taču varētu nenovērtēt tā smagumu
Cloudflare jau ir atzinis, ka drošības trūkums patiešām notika, taču gan Tavis Ormandy, gan citi drošības pētnieki uzskata, ka uzņēmums nepietiekami novērtē incidenta smagumu. Iekšā nosūtīt Ievietots uzņēmuma emuārā ar virsrakstu "Ziņojums par atmiņas noplūdi, ko izraisījusi Cloudflare parsētāja kļūda", Cloudflare atzīst, ka pārkāpums bija nopietns, bet arī atzīmē, ka nav pierādījumu, ka kļūda ir izmantota.
Kļūda bija nopietna, jo noplūdušajā atmiņā varēja būt privāta informācija un meklētājprogrammas to būtu saglabājušas kešatmiņā. Mēs arī neesam atklājuši pierādījumus par kļūdas ļaunprātīgu izmantošanu vai citus ziņojumus par tās esamību.
Ormandija ātri piedāvāja atbildi uz uzņēmuma paziņojumiem, ka Cloudflare publicētā ziņa piedāvā lielisku "postmortem" analīzi, bet tajā pašā laikā "nopietni samazina klientu risku".
Paroles ieteicams mainīt
Raiens Lakijs, vēl viens prestižs drošības pētnieks, piekrīt Ormandijas paziņojumiem, norādot, ka Lai arī paroļu atmaskošanas varbūtība ir maza, pastāv šāds risks, tāpēc lietotāji tiek mudināti tās mainīt.
Google, Bing, Yahoo un citas meklētājprogrammas jau ir notīrījušas kešatmiņā saglabātos datus, tāpēc fakti tagad ir publiskoti, taču ArsTechnica atzīmē, ka daži kešatmiņā saglabātie dati joprojām ir saglabājušies.