Ešte raz boli zverejnené údaje o používateľoch z najmenej 3.400 1 webov vrátane Fitbit, Une a až XNUMX heslaTentokrát sa z dôvodu bezpečnostnej chyby Cloudflare odporúča okamžite zmeniť prístupové heslá.
Údaje používateľov z viac ako 3.400 XNUMX webov boli filtrované a uložené do vyrovnávacej pamäte vyhľadávacími nástrojmi v dôsledku bezpečnostnej chyby v Cloudflare, distribučnej sieti obsahu, ktorú využívajú tisíce webových stránok. Po celé mesiace boli ovplyvnené weby ako Uber, Fitbit alebo zoznamka OKCupid medzi tisíckami. 1Password tiež používa Cloudflare, spoločnosť však tvrdí, že vďaka jeho šifrovaniu typu end-to-end neboli dáta jej zákazníkov odhalené.
Bezpečnostná chyba, ktorá sprístupňuje údaje státisícov používateľov
Zabezpečenie a súkromie našich osobných údajov sa týka čoraz viac ľudí každý deň. Čoraz viac osobných údajov, ktoré ukladáme do „cloudu“ a ku ktorým mal prístup ktokoľvek, vo väčšine prípadov iba pomocou znalosti nášho používateľského mena a hesla. Preto linformácie zverejnené dnes sú obzvlášť závažné, a to kvalitatívne aj z hľadiska množstva používateľov, na ktoré by to mohlo mať vplyv.
Podľa zverejnila ArsTechnica„Výskumný pracovník spoločnosti Google v oblasti bezpečnosti Tavis Ormandy zistil, že bezpečnostná chyba v sieti Cloudflare, distribučnej sieti obsahu, ktorú využívajú milióny webových stránok, umožnila únik používateľských údajov z viac ako 3.400 XNUMX webových stránok a ich uloženie do vyrovnávacej pamäte vyhľadávacích nástrojov.
Služba používaná 5,5 miliónmi webov mohla mať uniknuté heslá a autentifikačné tokeny.
Ukážka údajov, ktoré videl Ormandy. Toto je súkromná správa zo zoznamky okcupid | OBRÁZOK: ArsTechnica
Medzi dotknutými webovými stránkami sú také populárne firmy ako Fitbit alebo Uber, ako aj 1Password, ktoré však už uviedli, že údaje jeho používateľov zostávajú v bezpečí vďaka šifrovaniu typu end-to-end.
Zaznamenali sme šifrovacie kľúče, cookies, heslá, dátové bloky POST a dokonca aj HTTPS požiadavky na ďalšie najlepšie weby hostované cloudflare od iných používateľov. Keď sme pochopili, čo sme videli, a dôsledky, okamžite sme sa zastavili a kontaktovali sme zabezpečenie cloudflare.
Cloudflare chybu pripúšťa, ale mohla by podceniť jej závažnosť
Cloudflare už pripustil, že k bezpečnostnej chybe skutočne došlo, ale Tavis Ormandy aj ďalší bezpečnostní výskumníci sa domnievajú, že spoločnosť podceňuje závažnosť incidentu. V zverejniť Spoločnosť Cloudflare zverejnená na blogu spoločnosti pod názvom „Správa o incidente úniku pamäte spôsobenom chybou analyzátora Cloudflare“ uznáva, že porušenie bolo vážne, ale zároveň poznamenáva, že neexistujú dôkazy o tom, že by chyba bola zneužitá.
Chyba bola vážna, pretože uniknutá pamäť mohla obsahovať súkromné informácie a pretože by ju mohli vyhľadávače ukladať do medzipamäte. Taktiež sme neobjavili nijaké dôkazy o škodlivom využívaní chyby ani iné správy o jej existencii.
Ormandy rýchlo ponúkol odpoveď k vyhláseniam spoločnosti, v ktorých sa uvádza, že príspevok zverejnený spoločnosťou Cloudflare ponúka vynikajúcu analýzu „po smrti“, ale zároveň „výrazne znižuje riziko pre zákazníkov“.
Odporúča sa meniť heslá
Ryan Lackey, ďalší prestížny výskumník v oblasti bezpečnosti, súhlasí s vyhláseniami Ormandyho a uvádza, že Aj keď je pravdepodobnosť odhalenia hesiel nízka, toto riziko existuje, takže používateľom sa odporúča, aby ich zmenili.
Google, Bing, Yahoo a ďalšie vyhľadávacie nástroje už údaje z pamäte cache vymazávali, takže fakty boli teraz zverejnené, ale ArsTechnica poznamenáva, že niektoré údaje uložené v pamäti stále zostávajú.