Pēdējo mēnešu laikā populārā Cloudflare pakalpojuma kļūda var būt pakļauta sensitīviem lietotāja datiem, tostarp lietotājvārdiem, parolēm un privātām ziņām, ar vienkāršu tekstu pasauli. Bet cik liela ir šī problēma un kas jums jādara?
Cloudflare ir pakalpojums, kas piedāvā drošības un veiktspējas funkcijas (cita starpā) plašam vietņu tīklam. Tas darbojas kā pretējs starpnieks starp jums - lietotāju un konkrētu vietni. Kad jūs apmeklējat šo vietni, jums tiks novirzīts uz vienu no Cloudflare serveriem, nevis uz faktisko vietnes serveriem.
Tas ļauj Cloudflare nodrošināt, ka esat likumīgs lietotājs (tādējādi aizsargājot pret pakalpojuma atteikšanas uzbrukumiem), ielādējiet vietni ātrāk (jo tās ir kešatmiņā noteiktas vietnes daļas) un aizsargāties pret dīkstāvēm (jo tām ir vairāki serveri visā pasaulē un var atgriezties jebkurā serverī, ja tam ir problēma).
Cloudflare nodrošina, ka DDoS uzbrucēji nesaņem savu datplūsmu uz faktisko vietni. Īsi sakot, Cloudflare mērķis ir padarīt vietnes ātrākas un drošākas, un tas ir pakalpojums, ko izmanto daudz vietņu.
Diemžēl, nekas nav 100% drošs, pat ja vietne izmanto pakalpojumu, piemēram, Cloudflare, un rodas kļūmes. Šajā gadījumā Cloudflare faktiski izraisa drošības problēma: kļūda atkārtotā starpniekservera kodā, kas parsē HTML, izraisīja Cloudflare serverus noteiktos apstākļos noplūst atmiņas saturu. (Daži cilvēki to sauc par "Cloudbleed", spēlē pie Heartbleed bug, kas arī ietekmēja lielu interneta daļu.)
Šajos datos varētu būt ietverti visu veidu sensitīvie dati, tostarp lietotājvārdi, paroles, privātās ziņas, OAuth marķieri un daudz kas cits. Vēl sliktāk, daži no šiem datiem tika indeksēti un saglabāti kešatmiņā ar dažām meklētājprogrammām (apmēram 700 lappušu pēc Cloudflare), tādēļ, ja zinātu, ko meklēt Google tīklā, jūs varētu atrast konfidenciālus datus no lietotājiem, kuri piesakās konkrēta laika brīdī. noplūde.
Ja jūs zināt, ko meklēt, jūs varētu atrast kādu Cloudflare noplūdušo informāciju meklētājprogrammās. Šo kļūdu atklāja apmēram piecus mēnešus, un pēc šīs nedēļas atklāšanas tā tika ielīmēta. Cloudflare saka: "vislielākais ietekmes periods notika 13. februārī un 18. februārī ar apmēram 1 no katriem 3,300,000 HTTP pieprasījumiem, izmantojot Cloudflare, kas potenciāli rada atmiņas noplūdi (tas ir apmēram 0.00003% no pieprasījumiem)."
Bet ar tādu pakalpojumu, kas ir populārs kā Cloudflare, 0,00003% joprojām ir daudz. Daži cilvēki ir sastādījuši vietņu sarakstu, kas izmanto Cloudflare, un tajā ir vairāk nekā 4 miljoni domēnu - tostarp Yelp, OkCupid, Uber, Authy, Medium un daudzi citi. (Dažas mobilās lietotnes tiek ietekmētas arī.)
Jūs varat lasīt vairāk par šīs kļūdas tehniskajām detaļām Cloudflare emuārā, lai gan tas, iespējams, jūs interesēs tikai tad, ja esat programmētājs, ja jūs esat regulārs interneta lietotājs, vienīgā lieta, kas jums jāzina, ir ...
Pirmkārt: nepārspīlējiet paniku. Ne katrs šajā sarakstā ir 4 miljoni obligāti noplūdušas konfidenciālas informācijas - ja vietne tikai izmanto Cloudflare, lai saglabātu attēla datus, piemēram, nav konfidenciālas informācijas par noplūdi. Un tas nav tāpat kā katrs noplūdes bija galvenais saraksts paroles, anyway-tas bija nejauši informācijas vienības, kas varētu jebkurā brīdī ir iekļāvuši dažus izlases lietotājvārdus un paroles.
Tomēr Cloudflare arī norādīja, ka ir noplūda viena no savām privātajām atslēgām, kas nodrošinātu uzbrucēju piekļuvi daudzām iekšējām Cloudflare datiem, tostarp potenciāli lietotājvārdiem un parolēm. Cloudflare bija ļoti neskaidrs par šo konkrēto aspektu, neraugoties uz to, ka tas ir liels drošības risks, un tas var noplūst daudz jutīgāku informāciju
Viss, kas teicis, nav īsts veids, kā noskaidrot, vai kāds no jūsu datiem ir noplūdis un kur, tāpēc vienīgais drošais darbības virziens šobrīd ir mainīt visas savas paroles. (Protams, jūs varētu apskatīt sarakstu ar 4 miljoniem vietņu un tikai mainīt tos, ko izmanto Cloudflare, bet godīgi, tas, iespējams, būs vieglāk un ātrāk, lai vienkārši tos mainītu.)
Šeit ir spēkā parastās kārtulas ar parolēm: neizmantojiet to pašu paroli vairākās vietnēs, izmantojiet paroli pārvaldnieku, piemēram, LastPass, un ieslēdziet divu faktoru autentifikāciju katrai vietnei, kas to atļauj. Ja jūs to nedarāt, Cloudflage kļūda, visticamāk, ir vismazākā no jūsu raizēm. Galu galā vietnes tiek uzlauztas visu laiku, un, ja vienuviet izmantojat to pašu paroli, visi jūsu dati pastāvīgi tiek apdraudēti.
Ja jūs jau izmantojat paroli, šis process ir jābūt vienkāršam (ja tas ir nedaudz garš un garš). Bet tagad jums vajadzētu izmantot šo deju.
