Una vez más, användardata från minst 3.400 webbplatser inklusive Fitbit, Une och upp till 1Password har exponeratsDen här gången, på grund av ett säkerhetsintrång från Cloudflare, rekommenderas att du omedelbart ändrar åtkomstlösenorden.
Användardata från mer än 3.400 webbplatser har varit filtreras och cachas av sökmotorer som ett resultat av ett säkerhetsfel i Cloudflare, ett innehållsdistributionsnätverk som används av tusentals webbplatser. I flera månader har webbplatser som Uber, Fitbit eller dejtingsajten OKCupid bland tusentals påverkats. 1Password använder också Cloudflare, men företaget hävdar att tack vare sin end-to-end-kryptering har dess kunders data inte exponerats.
En säkerhetsfel som avslöjar data från hundratusentals användare
Säkerheten och integriteten för våra personuppgifter är något som berör fler och fler människor varje dag. Fler och fler personuppgifter som vi lagrar i "molnet" och som vem som helst kan ha åtkomst till, i de flesta fall, bara genom att känna till vårt användarnamn och lösenord. Därav linformation som publiceras idag är särskilt allvarlig, både kvalitativt och i fråga om användarvolymen kan det påverka.
Genom postat Ars Technica, Upptäckte Googles säkerhetsforskare Tavis Ormandy att ett säkerhetsfel i Cloudflare, innehållsdistributionsnätverket som används av miljontals webbplatser, har gjort att användardata från mer än 3.400 webbplatser har läckt ut och lagrats i sökmotorns cache.
Tjänsten som används av 5,5 miljoner webbplatser kan ha läckt lösenord och autentiseringstoken.
Ett urval av data som Ormandy såg. Detta är ett privat meddelande från okcupid dejtingsajt | BILD: ArsTechnica
Bland de drabbade webbplatserna finns sådana populära företag som Fitbit eller Uber, liksom 1Password, som dock redan har uttalat att användarnas data förblir säkra tack vare end-to-end-kryptering.
Vi har observerat krypteringsnycklar, kakor, lösenord, POST-dataklumpar och till och med HTTPS-förfrågningar för andra toppwebbplatser från andra användare. När vi förstod vad vi såg och konsekvenserna stannade vi omedelbart och kontaktade cloudflare-säkerhet.
Cloudflare erkänner bristen, men kan underskatta dess svårighetsgrad
Cloudflare har redan medgett att säkerhetsfelet verkligen uppstod, men både Tavis Ormandy och andra säkerhetsforskare tror att företaget underskattar händelsens allvar. I en inlägg Publicerat på företagets blogg under rubriken "Incidentrapport om minnesläckage orsakad av Cloudflare parser bug", erkänner Cloudflare att intrånget var allvarligt, men noterar också att det finns inga bevis för att felet har utnyttjats.
Felet var allvarligt eftersom det läckta minnet kunde innehålla privat information och eftersom det skulle ha cachats av sökmotorer. Vi har inte heller upptäckt några bevis på skadligt utnyttjande av felet eller andra rapporter om dess existens.
Ormandy var snabb att erbjuda en svar till företagets uttalanden om att det inlägg som publicerats av Cloudflare erbjuder en utmärkt "postmortem" -analys men samtidigt "på allvar minskar risken för kunderna."
Vi rekommenderar att du byter lösenord
Ryan Lackey, en annan prestigefylld säkerhetsforskare, instämmer i Ormandys uttalanden och säger att, Även om sannolikheten för att lösenord exponeras är låg, finns den risken, så användarna uppmuntras att ändra dem.
Google, Bing, Yahoo och andra sökmotorer har redan rensat cachade data, därför har fakta nu offentliggjorts, men ArsTechnica noterar att vissa cachade data fortfarande finns kvar.