En gang til brukerdata fra minst 3.400 nettsteder, inkludert Fitbit, Une og opptil 1Password, har blitt eksponertDenne gangen, på grunn av et Cloudflare-sikkerhetsbrudd, anbefales det å umiddelbart endre tilgangspassordene.
Brukerdata fra mer enn 3.400 nettsteder har vært filtrert og bufret av søkemotorer som et resultat av en sikkerhetsfeil i Cloudflare, et innholdsdistribusjonsnettverk som brukes av tusenvis av nettsteder. I flere måneder har nettsteder som Uber, Fitbit eller datingsiden OKCupid blant tusenvis blitt berørt. 1Password bruker også Cloudflare, men selskapet hevder at takket være end-to-end-kryptering har kundenes data ikke blitt eksponert.
En sikkerhetsfeil som avslører dataene til hundretusener av brukere
Sikkerheten og personvernet til personopplysningene våre er noe som opptar flere og flere mennesker hver dag. Flere og flere personlige data som vi lagrer i "skyen" og som alle kan ha tilgang til, i de fleste tilfeller, bare ved å vite brukernavnet og passordet vårt. Derfor linformasjon publisert i dag er spesielt alvorlig, både kvalitativt og når det gjelder volumet på brukerne, kan det påvirke.
Av postet ArsTechnica, Oppdaget Googles sikkerhetsforsker Tavis Ormandy at en sikkerhetsfeil i Cloudflare, innholdsdistribusjonsnettverket som brukes av millioner av nettsteder, har tillatt at brukerdata fra mer enn 3.400 nettsteder har blitt lekket. Og lagret i hurtigbufferen til søkemotorer.
Tjenesten som brukes av 5,5 millioner nettsteder kan ha lekket passord og godkjenningstokener.
Et utvalg av dataene som Ormandy så. Dette er en privat melding fra datingsiden okcupid | BILDE: ArsTechnica
Blant de berørte nettstedene er slike populære firmaer som Fitbit eller Uber, samt 1Password, som imidlertid allerede har uttalt at brukernes data forblir sikre takket være end-to-end-kryptering.
Vi har observert krypteringsnøkler, informasjonskapsler, passord, POST-data biter, og til og med HTTPS-forespørsler om andre topp cloudflare-hostede nettsteder fra andre brukere. Når vi forsto hva vi så og implikasjonene, stoppet vi umiddelbart og kontaktet cloudflare-sikkerhet.
Cloudflare innrømmer feilen, men kan undervurdere alvorlighetsgraden
Cloudflare har allerede innrømmet at sikkerhetsfeilen faktisk har oppstått, men både Tavis Ormandy og andre sikkerhetsforskere mener at selskapet undervurderer alvorlighetsgraden av hendelsen. I en poste Skrevet på selskapets blogg under tittelen "Hendelsesrapport om minnelekkasje forårsaket av Cloudflare parser bug", erkjenner Cloudflare at bruddet var alvorlig, men bemerker også at det er ingen bevis for at feilen er utnyttet.
Feilen var alvorlig fordi det lekkede minnet kunne inneholde privat informasjon, og fordi det ville ha blitt bufret av søkemotorer. Vi har heller ikke oppdaget bevis for skadelig utnyttelse av feilen eller andre rapporter om dens eksistens.
Ormandy var rask med å tilby et svaret til selskapets uttalelser om at innlegget publisert av Cloudflare tilbyr utmerket "postmortem" -analyse, men samtidig "reduserer risikoen for kundene sterkt."
Det anbefales å endre passord
Ryan Lackey, en annen prestisjefylt sikkerhetsforsker, er enig i Ormandys uttalelser og sier at, Selv om sannsynligheten for at passord blir eksponert er liten, eksisterer denne risikoen, så brukerne oppfordres til å endre dem.
Google, Bing, Yahoo og andre søkemotorer har allerede ryddet hurtigbufrede data, og fakta er nå offentliggjort, men ArsTechnica bemerker at noen lagrede data fremdeles gjenstår.