Vi phạm bảo mật làm lộ dữ liệu người dùng của hơn 3.400 trang web

Una vez más, dữ liệu người dùng từ ít nhất 3.400 trang web bao gồm Fitbit, Une và tối đa 1Password, đã bị lộLần này, do vi phạm bảo mật Cloudflare, bạn nên thay đổi mật khẩu truy cập ngay lập tức.

Dữ liệu người dùng từ hơn 3.400 trang web đã được được lọc và lưu trữ bởi các công cụ tìm kiếm do lỗi bảo mật trong Cloudflare, một mạng phân phối nội dung được hàng nghìn trang web sử dụng. Trong nhiều tháng, các trang web như Uber, Fitbit hoặc trang web hẹn hò OKCupid trong số hàng nghìn người, đã bị ảnh hưởng. 1Password cũng sử dụng Cloudflare, tuy nhiên công ty tuyên bố rằng nhờ mã hóa đầu cuối nên dữ liệu của khách hàng không bị lộ ra ngoài.

Một lỗ hổng bảo mật làm lộ dữ liệu của hàng trăm nghìn người dùng

Bảo mật và quyền riêng tư của dữ liệu cá nhân của chúng tôi là điều mà ngày càng nhiều người quan tâm hơn mỗi ngày. Ngày càng có nhiều dữ liệu cá nhân mà chúng tôi lưu trữ trong "đám mây" và bất kỳ ai cũng có thể có quyền truy cập, trong hầu hết các trường hợp, chỉ bằng cách biết tên người dùng và mật khẩu của chúng tôi. Do đó tôithông tin được công bố ngày hôm nay là đặc biệt nghiêm trọng, cả về mặt chất lượng và số lượng người dùng mà nó có thể ảnh hưởng.

Qua đã công bố ArsTechnica, Nhà nghiên cứu bảo mật Tavis Ormandy của Google đã phát hiện ra rằng một lỗ hổng bảo mật trong Cloudflare, mạng phân phối nội dung được sử dụng bởi hàng triệu trang web, đã cho phép dữ liệu người dùng từ hơn 3.400 trang web bị rò rỉ và lưu trữ trong bộ nhớ cache của các công cụ tìm kiếm.

Dịch vụ được 5,5 triệu trang web sử dụng có thể đã bị rò rỉ mật khẩu và mã thông báo xác thực.

Một mẫu dữ liệu mà Ormandy đã thấy. Đây là tin nhắn từ trang web hẹn hò okcupid | HÌNH ẢNH: ArsTechnica

Trong số các trang web bị ảnh hưởng có các công ty phổ biến như Fitbit hoặc Uber, cũng như 1Password, tuy nhiên, đã tuyên bố rằng dữ liệu của người dùng vẫn an toàn nhờ mã hóa đầu cuối.

Chúng tôi đã thấy các khóa mã hóa, cookie, mật khẩu, khối ĐĂNG và thậm chí cả các yêu cầu HTTPS cho các trang web được lưu trữ trên đám mây hàng đầu khác từ những người dùng khác. Khi chúng tôi hiểu những gì chúng tôi đang thấy và tác động của nó, chúng tôi ngay lập tức dừng lại và liên hệ với bộ phận bảo mật cloudflare.

Cloudflare thừa nhận lỗ hổng, nhưng có thể đánh giá thấp mức độ nghiêm trọng của nó

Cloudflare đã thừa nhận rằng lỗ hổng bảo mật đã thực sự xảy ra, nhưng cả Tavis Ormandy và các nhà nghiên cứu bảo mật khác đều tin rằng công ty đang đánh giá thấp mức độ nghiêm trọng của vụ việc. Trong một gửi Được đăng trên blog của công ty với tiêu đề "Báo cáo sự cố rò rỉ bộ nhớ do lỗi phân tích cú pháp Cloudflare", Cloudflare thừa nhận rằng vi phạm là nghiêm trọng, nhưng cũng lưu ý rằng không có bằng chứng cho thấy lỗi đã bị khai thác.

Lỗi nghiêm trọng vì bộ nhớ bị rò rỉ có thể chứa thông tin cá nhân và vì nó đã được các công cụ tìm kiếm lưu vào bộ nhớ đệm. Chúng tôi cũng không phát hiện ra bất kỳ bằng chứng nào về việc khai thác có hại cho lỗi hoặc các báo cáo khác về sự tồn tại của nó.

Ormandy đã nhanh chóng đưa ra một trả lời cho đến các tuyên bố của công ty mà bài đăng được xuất bản bởi Cloudflare cung cấp một phân tích tuyệt vời "hậu quả" nhưng đồng thời "nghiêm trọng giảm rủi ro cho khách hàng."

Nên thay đổi mật khẩu

Ryan Lackey, một nhà nghiên cứu bảo mật uy tín khác, đồng ý với tuyên bố của Ormandy, nói rằng, Mặc dù xác suất mật khẩu bị lộ là thấp nhưng rủi ro đó vẫn tồn tại, vì vậy người dùng được khuyến khích thay đổi chúng.

Google, Bing, Yahoo và các công cụ tìm kiếm khác đã xóa dữ liệu được lưu trong bộ nhớ đệm, do đó sự thật hiện đã được công khai, nhưng ArsTechnica lưu ý rằng một số dữ liệu được lưu trong bộ nhớ cache vẫn còn.


Theo dõi chúng tôi trên Google Tin tức

Hãy là người đầu tiên nhận xét

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: AB Internet Networks 2008 SL
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.