W ciągu ostatnich kilku miesięcy błąd w popularnej usłudze Cloudflare mógł ujawnić światu poufne dane użytkownika - w tym nazwy użytkowników, hasła i wiadomości prywatne - w postaci zwykłego tekstu. Ale jak duży jest ten problem i co powinieneś zrobić?
Cloudflare to usługa, która oferuje funkcje bezpieczeństwa i wydajności (między innymi) do szerokiej sieci stron internetowych. Działa jako odwrotny proxy, pośrednik między tobą a użytkownikiem i daną witryną. Gdy odwiedzasz tę stronę, zostaniesz przekierowany do jednego z serwerów Cloudflare zamiast do rzeczywistych serwerów witryny.
Pozwala to Cloudflare na upewnienie się, że jesteś prawowitym użytkownikiem (chroniąc w ten sposób przed atakami typu "odmowa usługi"), szybciej ładuj stronę (od momentu buforowania niektórych części witryny) i chroniąc przed przestojami (ponieważ mają wiele serwerów na całym świecie i może spaść na dowolny serwer, jeśli ktoś ma problem).
Cloudflare zapewnia, że osoby atakujące DDoS nie dostaną ruchu do rzeczywistej witryny. W skrócie: Cloudflare ma na celu uczynienie stron szybszymi i bezpieczniejszymi, a jest to usługa używana przez wiele stron internetowych.
Niestety, nic nie jest w 100% bezpieczne, nawet jeśli witryna korzysta z usługi takiej jak Cloudflare i występują błędy. W tym przypadku faktycznie Cloudflare powodowany problem z bezpieczeństwem: błąd w odwrotnym kodzie proxy, który parsował HTML powodował, że serwery Cloudflare w pewnych okolicznościach wyciekły z zawartości pamięci. (Niektórzy ludzie nazywają to "Cloudbleed", gra z błędem Heartbleed, który również wpłynął na dużą część internetu.)
Te dane mogły zawierać wszystkie poufne dane, w tym nazwy użytkowników, hasła, prywatne wiadomości, tokeny OAuth i wiele innych. Co gorsza, niektóre z tych danych zostały zindeksowane i zapisane w pamięci podręcznej przez niektóre wyszukiwarki (około 700 stron, według Cloudflare), więc jeśli wiesz, czego szukać w Google, możesz znaleźć poufne dane od użytkowników logujących się w czasie określonego nieszczelność.
Jeśli wiesz, czego szukać, możesz znaleźć niektóre z wyciekanych informacji Cloudflare w wyszukiwarkach. Ten błąd nie został wykryty przez około pięć miesięcy i został załatany po odkryciu w tym tygodniu. Cloudflare twierdzi, że "największy okres wpływu miał miejsce od 13 lutego do 18 lutego, a około 1 na każde 3 300 000 żądań HTTP za pośrednictwem Cloudflare potencjalnie skutkowało wyciekiem pamięci (to około 0,00003% żądań)."
Ale z usługą tak popularną jak Cloudflare, 0,00003% wciąż jest dużo. Niektórzy ludzie kompilują listę stron korzystających z Cloudflare i obejmują ponad 4 miliony domen - w tym Yelp, OkCupid, Uber, Authy, Medium i wiele, wiele więcej. (Dotyczy to również niektórych aplikacji mobilnych).
Więcej informacji na temat szczegółów technicznych tego błędu można znaleźć na blogu Cloudflare, ale prawdopodobnie będzie cię to interesowało tylko wtedy, gdy jesteś programistą - jeśli jesteś zwykłym użytkownikiem internetu, jedyne, co musisz wiedzieć, to ...
Po pierwsze: nie panikuj za bardzo. Nie każda witryna z tej listy zawierała 4 miliony danych poufnych - jeśli witryna używała Cloudflare do przechowywania danych obrazu w pamięci podręcznej, na przykład, nie byłoby żadnych poufnych informacji do wycieku. I nie jest tak, że każdy przeciek był i tak główną listą haseł - to były przypadkowe informacje, które mógłby włączyli kilka losowych nazw użytkowników i haseł w danym momencie.
Jednak Cloudflare zauważył również, że jeden z ich prywatnych kluczy został ujawniony, co zapewniłoby osobie atakującej dostęp do wielu wewnętrznych danych Cloudflare - w tym, potencjalnie, nazw użytkowników i haseł. Cloudflare był bardzo niejasny w tej kwestii, mimo że stanowi poważne zagrożenie dla bezpieczeństwa, z możliwością wycieku o wiele bardziej wrażliwych informacji
Wszystko to powiedziawszy, nie ma prawdziwego sposobu na stwierdzenie, czy któreś z twoich danych wyciekło i gdzie, więc jedynym bezpiecznym sposobem działania jest teraz zmień wszystkie swoje hasła. (Oczywiście, możesz przejrzeć listę 4 milionów witryn i zmienić tylko te używane przez Cloudflare, ale szczerze, prawdopodobnie łatwiej i szybciej będzie po prostu zmienić je wszystkie.)
Obowiązują tu zwykłe reguły z hasłami: nie używaj tego samego hasła w wielu witrynach, używaj menedżera haseł, takiego jak LastPass, i włącz uwierzytelnianie dwuskładnikowe dla każdej witryny, która na to pozwala. Jeśli nie robisz tych rzeczy, błąd Cloudflare jest prawdopodobnie najmniejszym z twoich zmartwień - w końcu witryny są atakowane przez cały czas, a jeśli używasz tego samego hasła wszędzie, wszystkie twoje dane są regularnie narażone na ryzyko.
Jeśli już używasz menedżera haseł, proces ten powinien być łatwy (jeśli trochę długi i nudny). Ale powinieneś już być przyzwyczajony do tego tańca.
