Una vez más, dane użytkowników z co najmniej 3.400 stron internetowych, w tym Fitbit, Une i do 1Password, zostały ujawnione, tym razem z powodu naruszenia bezpieczeństwa Cloudflare, dlatego zaleca się natychmiastową zmianę haseł dostępu.
Dane użytkowników z ponad 3.400 witryn internetowych filtrowane i buforowane przez wyszukiwarki w wyniku błędu bezpieczeństwa w Cloudflare, sieci dystrybucji treści używanej przez tysiące witryn internetowych. Od miesięcy dotyczyło to witryn takich jak Uber, Fitbit czy portal randkowy OKCupid wśród tysięcy. 1Password również korzysta z Cloudflare, jednak firma twierdzi, że dzięki pełnemu szyfrowaniu dane jej klientów nie zostały ujawnione.
Luka w zabezpieczeniach, która ujawnia dane setek tysięcy użytkowników
Bezpieczeństwo i prywatność naszych danych osobowych to coś, o co każdego dnia dba coraz więcej osób. Coraz więcej danych osobowych, które przechowujemy w „chmurze” i do których każdy może mieć dostęp, w większości przypadków, po prostu znając naszą nazwę użytkownika i hasło. Stąd lpublikowane dziś informacje są szczególnie poważne, zarówno pod względem jakościowym, jak i pod względem liczby użytkowników, na które może mieć wpływ.
Przez opublikował ArsTechnica, Badacz bezpieczeństwa Google Tavis Ormandy odkrył, że luka w zabezpieczeniach Cloudflare, sieci dystrybucji treści, z której korzystają miliony witryn, umożliwiła wyciek danych użytkowników z ponad 3.400 witryn internetowych i przechowywanie ich w pamięci podręcznej wyszukiwarek.
Z usługi używanej przez 5,5 miliona stron internetowych mogły wyciekać hasła i tokeny uwierzytelniające.
Próbka danych, które widział Ormandy. To jest prywatna wiadomość z serwisu randkowego okcupid | ZDJĘCIE: ArsTechnica
Wśród dotkniętych stron internetowych są takie popularne firmy jak Fitbit czy Uber, a także 1Password, który już jednak stwierdził, że dane jego użytkowników pozostają bezpieczne dzięki szyfrowaniu typu end-to-end.
Zaobserwowaliśmy klucze szyfrowania, pliki cookie, hasła, fragmenty danych POST, a nawet żądania HTTPS dla innych najpopularniejszych witryn hostowanych w chmurze od innych użytkowników. Gdy zrozumieliśmy, co widzimy i jakie są tego konsekwencje, natychmiast zatrzymaliśmy się i skontaktowaliśmy z działem ochrony Cloudflare.
Cloudflare przyznaje się do wady, ale może nie doceniać jej powagi
Cloudflare już przyznał, że wada bezpieczeństwa rzeczywiście wystąpiła, ale zarówno Tavis Ormandy, jak i inni badacze bezpieczeństwa uważają, że firma nie docenia powagi incydentu. W pisać Opublikowany na firmowym blogu pod tytułem „Raport z incydentu dotyczący wycieku pamięci spowodowanego błędem parsera Cloudflare”, Cloudflare przyznaje, że naruszenie było poważne, ale zauważa również, że nie ma dowodów na to, że błąd został wykorzystany.
Błąd był poważny, ponieważ wyciekła pamięć mogła zawierać prywatne informacje i dlatego, że zostałaby zapisana w pamięci podręcznej przez wyszukiwarki. Nie znaleźliśmy również żadnych dowodów na złośliwe wykorzystanie błędu ani innych doniesień o jego istnieniu.
Ormandy szybko zaoferował odpowiedź do wypowiedzi firmy, że post opublikowany przez Cloudflare oferuje doskonałą analizę „pośmiertną”, ale jednocześnie „poważnie zmniejsza ryzyko dla klientów”.
Zaleca się zmianę haseł
Ryan Lackey, inny prestiżowy badacz bezpieczeństwa, zgadza się z oświadczeniami Ormandy, stwierdzając, że: Chociaż prawdopodobieństwo ujawnienia haseł jest niskie, istnieje takie ryzyko, dlatego zachęca się użytkowników do ich zmiany.
Google, Bing, Yahoo i inne wyszukiwarki już czyściły dane z pamięci podręcznej, dlatego fakty zostały już upublicznione, ale ArsTechnica zauważa, że niektóre dane z pamięci podręcznej nadal pozostają.