Una vez más, ang data ng gumagamit mula sa hindi bababa sa 3.400 mga website kabilang ang Fitbit, Une at hanggang sa 1Password, ay na-expose, sa oras na ito, dahil sa isang paglabag sa seguridad ng Cloudflare, kaya inirerekumenda na agad na baguhin ang mga password sa pag-access.
Ang data ng gumagamit mula sa higit sa 3.400 mga website ay sinala at na-cache ng mga search engine bilang isang resulta ng isang security bug sa Cloudflare, isang network ng pamamahagi ng nilalaman na ginagamit ng libu-libong mga website. Sa loob ng maraming buwan, naapektuhan ang mga website tulad ng Uber, Fitbit o ang dating site na OKCupid sa libu-libo. Gumagamit din ang 1Password ng Cloudflare, subalit inaangkin ng kumpanya na salamat sa end-to-end na pag-encrypt, ang data ng mga kostumer ay hindi nailantad.
Isang depekto sa seguridad na inilalantad ang data ng daan-daang libong mga gumagamit
Ang seguridad at privacy ng aming personal na data ay isang bagay na pinag-aalala ng higit pa at mas maraming mga tao araw-araw. Parami nang parami ang personal na data na iniimbak namin sa "cloud" at kung saan maaaring may access ang sinuman, sa karamihan ng mga kaso, sa pamamagitan lamang ng pag-alam sa aming username at password. Samakatuwid lAng impormasyong nai-publish ngayon ay partikular na seryoso, parehong husay at sa mga tuntunin ng dami ng mga gumagamit na maaaring makaapekto ito.
Sa pamamagitan ng ay na-publish ArsTechnica, Natuklasan ng mananaliksik ng seguridad ng Google na si Tavis Ormandy na ang isang depekto sa seguridad sa Cloudflare, ang network ng pamamahagi ng nilalaman na ginagamit ng milyun-milyong mga website, ay pinapayagan ang data ng gumagamit mula sa higit sa 3.400 mga website na ma-leak. At maiimbak sa cache ng mga search engine.
Ang serbisyong ginamit ng 5,5 milyong mga website ay maaaring may mga leak na password at token ng pagpapatotoo.
Isang sample ng data na nakita ng Ormandy. Ito ay isang pribadong mensahe mula sa dating site na okcupid | IMAGE: ArsTechnica
Kabilang sa mga apektadong website ay tulad ng mga tanyag na firm tulad ng Fitbit o Uber, pati na rin ang 1Password, na, gayunpaman, ay nakasaad na ang data ng mga gumagamit nito ay mananatiling ligtas salamat sa end-to-end na pag-encrypt.
Nakita namin ang mga susi sa pag-encrypt, cookies, password, POST chunks, at kahit na mga kahilingan sa HTTPS para sa iba pang mga nangungunang site na nai-host ng cloudflare mula sa iba pang mga gumagamit. Sa sandaling naiintindihan namin kung ano ang nakikita at mga implikasyon, agad kaming huminto at makipag-ugnay sa seguridad ng cloudflare.
Inaamin ng Cloudflare ang kamalian, ngunit maaaring maliitin ang kalubhaan nito
Inamin na ng Cloudflare na ang kapintasan sa seguridad ay nangyari nga, ngunit kapwa ang Tavis Ormandy at iba pang mga mananaliksik sa seguridad ay naniniwala na minamaliit ng kumpanya ang kalubhaan ng insidente. Sa isang magpaskil Nai-post sa blog ng kumpanya sa ilalim ng pamagat na "ulat ng Insidente tungkol sa pagtagas ng memorya na sanhi ng Cloudflare parser bug", kinikilala ng Cloudflare na ang paglabag ay seryoso, ngunit din tala na walang katibayan na ang bug ay pinagsamantalahan.
Seryoso ang error dahil maaaring maglaman ang pribadong memorya ng pribadong impormasyon at dahil na-cache ito ng mga search engine. Hindi rin namin natuklasan ang anumang katibayan ng nakakahamak na pagsasamantala sa bug o iba pang mga ulat ng pagkakaroon nito.
Mabilis na nag-alok si Ormandy a tumugon sa mga pahayag ng kumpanya na ang post na nai-publish sa pamamagitan ng Cloudflare ay nag-aalok ng isang mahusay na pagtatasa "postmortem" ngunit sa parehong oras "sineseryoso binabawasan ang panganib para sa mga customer."
Inirerekumenda na baguhin ang mga password
Si Ryan Lackey, isa pang prestihiyosong mananaliksik sa seguridad, ay sumasang-ayon sa mga pahayag ni Ormandy, na nagsasaad na, Bagaman mababa ang posibilidad na mailantad ang mga password, mayroon ang panganib na iyon, kaya hinihimok ang mga gumagamit na baguhin ang mga ito.
Ang Google, Bing, Yahoo, at iba pang mga search engine ay nalilinis na ang naka-cache na data, samakatuwid ang mga katotohanan ay naisapubliko na ngayon, ngunit Sinabi ng ArsTechnica na ang ilang mga naka-cache na data ay nananatili pa rin.