उना वेज मेस, फिटबिट, उणे आणि 3.400 पासवर्ड पर्यंत कमीतकमी 1 वेबसाइटवरील वापरकर्ता डेटा उघडकीस आला आहेयावेळी, क्लाउडफ्लेअर सुरक्षा उल्लंघनामुळे, त्वरित प्रवेश संकेतशब्द बदलण्याची शिफारस केली जाते.
3.400 हून अधिक वेबसाइटवरील वापरकर्ता डेटा आहे शोध इंजिनद्वारे फिल्टर केलेले आणि कॅश्ड क्लाउडफ्लेअरमधील सुरक्षा बगच्या परिणामी, सामग्री वितरण नेटवर्क जे हजारो वेबसाइट्सद्वारे वापरले जाते. काही महिन्यांपासून, हजारो लोकांमध्ये उबर, फिटबिट किंवा डेटिंग साइट ओकेकुपीड सारख्या वेबसाइट प्रभावित झाल्या आहेत. 1 पासवर्ड क्लाउडफ्लेअर देखील वापरते, तथापि कंपनी असा दावा करते की त्याच्या एंड-टू-एंड एन्क्रिप्शनमुळे, ग्राहकांचा डेटा उघड झाला नाही.
सुरक्षा दोष जो शेकडो हजारो वापरकर्त्यांचा डेटा उघड करतो
आमच्या वैयक्तिक डेटाची सुरक्षा आणि गोपनीयता ही अशी एक गोष्ट आहे जी दररोज अधिकाधिक लोकांना चिंता करते. आम्ही "मेघ" मध्ये संचयित केलेला अधिक आणि अधिक वैयक्तिक डेटा आणि ज्यामध्ये कोणालाही प्रवेश असू शकतो, बहुतेक प्रकरणांमध्ये, फक्त आपले वापरकर्तानाव आणि संकेतशब्द जाणून घेतल्यामुळे. म्हणूनच एलआज प्रकाशित केलेली माहिती विशेषतः गंभीर आहे, दोन्ही गुणात्मक आणि वापरकर्त्यांच्या व्हॉल्यूमच्या दृष्टीने प्रभावित होऊ शकतात.
मते प्रकाशित केले आहे अर्सटेकनेका, Google सुरक्षा संशोधक टॅव्हिस ऑरमंडी यांना आढळले की क्लाउडफ्लेअरमधील सुरक्षा त्रुटी, लाखो वेबसाइट्सद्वारे वापरल्या जाणार्या सामग्री वितरण नेटवर्कने 3.400 हून अधिक वेबसाइटवरील वापरकर्ता डेटा लीक होण्यास अनुमती दिली आहे आणि शोध इंजिनच्या कॅशेमध्ये संग्रहित केले आहे.
5,5 दशलक्ष वेबसाइटद्वारे वापरल्या गेलेल्या सेवेमध्ये संकेतशब्द आणि प्रमाणीकरण टोकन लीक होऊ शकतात.
ऑरमंडीने पाहिलेला डेटाचा नमुना. हा डेटिंग साइट ओक्युपिडचा एक खासगी संदेश आहे प्रतिमा: आर्सेटेनिका
त्या प्रभावित वेबसाइट्समध्ये फिटबिट किंवा उबरसारख्या लोकप्रिय कंपन्या तसेच 1 पासवर्ड देखील आहेत, ज्याने आधीपासूनच असे सांगितले आहे की एंड-टू-एंड एन्क्रिप्शनमुळे वापरकर्त्यांचा डेटा सुरक्षित राहिला आहे.
आम्ही एन्क्रिप्शन की, कुकीज, संकेतशब्द, पोस्ट डेटा भाग आणि इतर वापरकर्त्यांकडील अन्य शीर्ष क्लाउडफ्लेअर-होस्ट केलेल्या साइट्ससाठी देखील एचटीटीपीएस विनंत्यांचे निरीक्षण केले आहे. एकदा आम्हाला आम्ही काय पहात आहोत आणि त्याचा परिणाम समजला की आम्ही तातडीने थांबलो आणि क्लाउडफ्लायर सुरक्षेशी संपर्क साधला.
क्लाउडफ्लेअर हे दोष मान्य करते, परंतु त्याची तीव्रता कमी लेखू शकते
क्लाउडफ्लॅरने आधीपासूनच कबूल केले आहे की सुरक्षा त्रुटी खरोखरच उद्भवली आहेत, परंतु टॅव्हिस ऑर्मंडी आणि अन्य सुरक्षा संशोधक दोघांचा असा विश्वास आहे की कंपनी घटनेच्या तीव्रतेला कमी लेखत आहे. आत मधॆ पोस्ट कंपनीच्या ब्लॉगवर "क्लाउडफ्लेअर पार्सर बगमुळे झालेल्या मेमरी गळतीवरील घटनेचा अहवाल" या शीर्षकाखाली पोस्ट केले गेले होते, क्लाउडफ्लेअरने उल्लंघन गंभीर असल्याचे कबूल केले आहे, परंतु हे देखील नोंदवते बगचे शोषण केले गेले याचा पुरावा नाही.
त्रुटी गंभीर होती कारण लीक झालेल्या मेमरीमध्ये खाजगी माहिती असू शकते आणि कारण ती शोध इंजिनद्वारे कॅश केली गेली असती. तसेच आम्हाला दोष किंवा त्याच्या अस्तित्वाच्या इतर अहवालांच्या दुर्भावनायुक्त कार्यांचे कोणतेही पुरावे सापडले नाहीत.
ऑरमंडी एक द्रुत ऑफर होती उत्तर कंपनीच्या निवेदनात असे म्हटले आहे की क्लाउडफ्लेअरने प्रकाशित केलेले पोस्ट उत्कृष्ट "पोस्टमॉर्टम" विश्लेषण ऑफर करते परंतु त्याच वेळी "ग्राहकांना धोका कमी करते."
संकेतशब्द बदलण्याची शिफारस केली जाते
आणखी एक प्रतिष्ठित सुरक्षा संशोधक, रायन लॅकी, ऑरमंडीच्या विधानास सहमत आहेत आणि असे नमूद करतात की, संकेतशब्द उघडकीस येण्याची शक्यता कमी असली तरी, जोखीम अस्तित्वात आहे, म्हणून वापरकर्त्यांना ते बदलण्यास प्रोत्साहित केले जाते.
गूगल, बिंग, याहू आणि अन्य शोध इंजिन आधीपासूनच कॅश्ड डेटा साफ करीत आहेत, म्हणून आता तथ्य सार्वजनिक केले गेले आहेत, परंतु अर्स्टेनिका नोंदवते की काही कॅश्ड डेटा अद्याप शिल्लक आहे.