Pertama, data pengguna dari sekurang-kurangnya 3.400 laman web termasuk Fitbit, Une dan hingga 1Password, telah didedahkanKali ini, kerana pelanggaran keselamatan Cloudflare, disarankan untuk segera menukar kata laluan akses.
Data pengguna dari lebih daripada 3.400 laman web telah ditapis dan dicache oleh enjin carian sebagai hasil daripada bug keselamatan di Cloudflare, rangkaian pengedaran kandungan yang digunakan oleh ribuan laman web. Selama berbulan-bulan, laman web seperti Uber, Fitbit atau laman web temu janji OKCupid antara ribuan, telah terjejas. 1Password juga menggunakan Cloudflare, namun syarikat itu mendakwa bahawa berkat penyulitan end-to-end, data pelanggannya belum didedahkan.
Kekurangan keselamatan yang mendedahkan data ratusan ribu pengguna
Keselamatan dan kerahsiaan data peribadi kami adalah sesuatu yang membimbangkan semakin banyak orang setiap hari. Lebih banyak dan lebih banyak data peribadi yang kami simpan di "cloud" dan yang boleh diakses oleh sesiapa sahaja, dalam kebanyakan kes, hanya dengan mengetahui nama pengguna dan kata laluan kami. Oleh itu lmaklumat yang disiarkan hari ini sangat serius, baik secara kualitatif maupun dari segi jumlah pengguna yang boleh mempengaruhi.
Oleh telah diterbitkan ArsTechnica, Penyelidik keselamatan Google, Tavis Ormandy mendapati bahawa kelemahan keselamatan di Cloudflare, rangkaian pengedaran kandungan yang digunakan oleh berjuta-juta laman web, telah membolehkan data pengguna dari lebih dari 3.400 laman web dibocorkan. Dan disimpan dalam cache mesin pencari.
Perkhidmatan yang digunakan oleh 5,5 juta laman web mungkin telah membocorkan kata laluan dan token pengesahan.
Contoh data yang dilihat oleh Ormandy. Ini adalah mesej peribadi dari laman web temu janji okcupid | GAMBAR: ArsTechnica
Di antara laman web yang terjejas adalah firma popular seperti Fitbit atau Uber, serta 1Password, yang, bagaimanapun, telah menyatakan bahawa data penggunanya tetap selamat berkat penyulitan end-to-end.
Kami telah melihat kunci penyulitan, kuki, kata laluan, potongan POST, dan bahkan permintaan HTTPS untuk laman web cloudflare yang dihoskan oleh pengguna lain. Setelah memahami apa yang kami lihat dan implikasinya, kami segera berhenti dan menghubungi keselamatan cloudflare.
Cloudflare mengakui kekurangan itu, tetapi dapat meremehkan keparahannya
Cloudflare telah mengakui bahawa kelemahan keselamatan memang berlaku, tetapi kedua-dua Tavis Ormandy dan penyelidik keselamatan lain percaya bahawa syarikat itu meremehkan tahap kejadian yang teruk. Didalam hantar Dihantar di blog syarikat dengan tajuk "Laporan insiden kebocoran memori yang disebabkan oleh bug parser Cloudflare", Cloudflare mengakui bahawa pelanggaran itu serius, tetapi juga menyatakan bahawa tidak ada bukti bahawa bug tersebut telah dieksploitasi.
Kesalahan itu serius kerana memori yang bocor boleh mengandungi maklumat peribadi dan kerana ia akan disimpan dalam cache oleh enjin carian. Kami juga belum menemui bukti eksploitasi pepijat berbahaya atau laporan lain mengenai keberadaannya.
Ormandy dengan pantas menawarkan tindak balas kepada penyataan syarikat bahawa siaran yang diterbitkan oleh Cloudflare menawarkan analisis "postmortem" yang sangat baik tetapi pada masa yang sama "serius mengurangkan risiko bagi pelanggan."
Adalah disyorkan untuk menukar kata laluan
Ryan Lackey, seorang penyelidik keselamatan berprestij lain, bersetuju dengan kenyataan Ormandy, yang menyatakan bahawa, Walaupun kebarangkalian kata laluan terdedah rendah, risiko itu ada, jadi pengguna dianjurkan untuk mengubahnya.
Google, Bing, Yahoo, dan mesin carian lain telah membersihkan data yang disimpan dalam cache, oleh itu fakta-fakta sekarang telah diumumkan kepada umum, tetapi ArsTechnica menyatakan bahawa beberapa data cache masih ada.