Încă o dată datele utilizatorilor de la cel puțin 3.400 de site-uri web, inclusiv Fitbit, Une și până la 1Password, au fost expuse, de data aceasta, din cauza unei încălcări de securitate Cloudflare, de aceea se recomandă schimbarea imediat a parolelor de acces.
Datele utilizatorilor de la peste 3.400 de site-uri web au fost filtrate și memorate în cache de motoarele de căutare ca urmare a unui defect de securitate în Cloudflare, o rețea de distribuție a conținutului care este utilizată de mii de site-uri web. De luni de zile, site-uri web precum Uber, Fitbit sau site-ul de întâlniri OKCupid printre mii, au fost afectate. 1Password folosește și Cloudflare, însă compania susține că, datorită criptării sale end-to-end, datele clienților săi nu au fost expuse.
Un defect de securitate care expune datele a sute de mii de utilizatori
Securitatea și confidențialitatea datelor noastre personale este ceva care preocupă din ce în ce mai mulți oameni în fiecare zi. Din ce în ce mai multe date cu caracter personal pe care le stocăm în „cloud” și la care oricine ar putea avea acces, în majoritatea cazurilor, doar prin cunoașterea numelui nostru de utilizator și a parolei. Prin urmare linformațiile publicate astăzi sunt deosebit de serioase, atât din punct de vedere calitativ, cât și din punct de vedere al volumului de utilizatori pe care ar putea să-l afecteze.
Segun a publicat ArsTechnica, Cercetătorul în domeniul securității Google, Tavis Ormandy, a descoperit că un defect de securitate în Cloudflare, rețeaua de distribuție a conținutului care este utilizată de milioane de site-uri web, a permis scurgerea datelor utilizatorilor de la peste 3.400 de site-uri web și stocate în memoria cache a motoarelor de căutare.
Este posibil ca serviciul utilizat de 5,5 milioane de site-uri web să fi scurs parole și jetoane de autentificare.
Un eșantion din datele pe care le-a văzut Ormandy. Acesta este un mesaj privat de pe site-ul de întâlniri okcupid | IMAGINE: ArsTechnica
Printre aceste site-uri web afectate se numără firme populare precum Fitbit sau Uber, precum și 1Password, care, totuși, a afirmat deja că datele utilizatorilor săi rămân în siguranță datorită criptării end-to-end.
Am văzut chei de criptare, cookie-uri, parole, bucăți POST și chiar solicitări HTTPS pentru alte site-uri găzduite de cloudflare de la alți utilizatori. Odată ce am înțeles ce vedeam și implicațiile, ne-am oprit imediat și am contactat securitatea cloudflare.
Cloudflare admite defectul, dar ar putea subestima severitatea acestuia
Cloudflare a recunoscut deja că defectul de securitate a avut loc într-adevăr, dar atât Tavis Ormandy, cât și alți cercetători în securitate cred că compania subestimează gravitatea incidentului. Într-o post Postat pe blogul companiei sub titlul „Raport de incidente privind scurgerile de memorie cauzate de un parser bug Cloudflare”, Cloudflare recunoaște că încălcarea a fost gravă, dar notează și că nu există dovezi că bug-ul a fost exploatat.
Eroarea a fost gravă deoarece memoria scursă putea conține informații private și pentru că ar fi fost stocată în cache de motoarele de căutare. De asemenea, nu am descoperit nicio dovadă a exploatării dăunătoare a bug-ului sau a altor rapoarte ale existenței sale.
Ormandy a fost rapid să ofere un răspuns la declarațiile companiei care afirmă că postarea publicată de Cloudflare oferă o analiză excelentă „postmortem”, dar în același timp „reduce sever riscul pentru clienți”.
Se recomandă schimbarea parolelor
Ryan Lackey, un alt prestigios cercetător în securitate, este de acord cu declarațiile lui Ormandy, afirmând că, Deși probabilitatea expunerii parolelor este redusă, riscul respectiv există, astfel încât utilizatorii sunt încurajați să le schimbe.
Google, Bing, Yahoo și alte motoare de căutare au șters deja datele din cache, prin urmare faptele au fost făcute publice acum, dar ArsTechnica remarcă faptul că unele date în cache rămân în continuare.