Per pastaruosius kelis mėnesius populiari klaida„Cloudflare“ paslauga paprastu tekstu galėjo pasauliui atskleisti neskelbtinus vartotojo duomenis, įskaitant vartotojo vardus, slaptažodžius ir asmeninius pranešimus. Bet kokia yra ši problema, ir ką reikėtų daryti?
Kas yra „Cloudflare“?
„Cloudflare“ yra paslauga, siūlanti saugumą irnašumo savybės (be kita ko) plačiame tinklalapių tinkle. Tai veikia kaip atvirkštinis tarpinis serveris, tarpininkas tarp jūsų - vartotojo ir nurodytos svetainės. Kai lankysitės toje svetainėje, būsite nukreipti į vieną iš „Cloudflare“ serverių, o ne į faktinius svetainės serverius.
Tai leidžia „Cloudflare“ užtikrinti, kad esateteisėtas vartotojas (taip apsaugodamas nuo paslaugų atsisakymo atakų), įkelkite svetainę greičiau (nes jie talpino tam tikras svetainės dalis) ir apsaugokite nuo prastovų (nes jie turi kelis serverius visame pasaulyje ir gali atsisakyti bet kurio serverio, jei tokį turi) problema).
Trumpai tariant: „Cloudflare“ siekia padaryti svetaines greitesnes ir saugesnes, ir tai paslauga, kuria naudojasi daugybė svetainių.
Kas nutiko? (O kas yra „Debesuota“?)
Deja, niekas nėra 100% saugus, net jei svetainė naudoja tokią paslaugą kaip „Cloudflare“ ir įvyksta klaidų. Šiuo atveju „Cloudflare“ iš tikrųjų sukelia saugumo problema: dėl atvirkštinio tarpinio serverio kodo, kuris analizuoja HTML, tam tikromis aplinkybėmis „Cloudflare“ serveriai galėjo nutekinti savo atminties turinį. (Kai kurie žmonės tai vadina „Cloudbleed“ - tai „Heartbleed“ klaidos, kuri paveikė ir didelę interneto dalį, paleidimas.)
Šie duomenys galėjo apimti visų rūšių duomenisneskelbtini duomenys, įskaitant vartotojo vardus, slaptažodžius, asmeninius pranešimus, „OAuth“ prieigos raktus ir dar daugiau. Dar blogiau, kai kurie iš šių duomenų buvo indeksuoti ir talpykloje kaupiami kai kurių paieškos sistemų (apie 700 puslapių, pagal „Cloudflare“), taigi, jei žinotumėte, ko ieškoti „Google“, galėtumėte rasti neskelbtinų duomenų iš prisijungusių vartotojų tam tikru metu nutekėjimas.
Ši klaida buvo neatskleista maždaug penkis mėnesius,ir buvo pataisytas po atradimo šią savaitę. „Cloudflare“ sako, kad „didžiausias poveikio laikotarpis buvo nuo vasario 13 ir vasario 18 d., Kai maždaug 1 iš 3 300 000 HTTP užklausų per„ Cloudflare “galėjo nutekėti atmintis (tai sudaro apie 0,00003% užklausų)“.
Tačiau su tokia populiaria paslauga kaip „Cloudflare“, 0.00003% vis dar yra daug. Kai kurie žmonės sudarė svetainių, naudojančių „Cloudflare“, sąrašą. Jį sudaro daugiau nei 4 milijonai domenų, įskaitant „Yelp“, „OkCupid“, „Uber“, „Authy“, „Medium“ ir daugybę kitų. (Tai taip pat turi įtakos kai kurioms programoms mobiliesiems.)
Galite perskaityti daugiau apiešią klaidą „Cloudflare“ tinklaraštyje, nors ji tikriausiai jus sudomins tik tada, jei esate programuotojas - jei esate įprastas interneto vartotojas, vienintelis dalykas, ką turite žinoti, yra…
Ką turėčiau daryti?
Pirma: nereikia per daug panikuoti. Ne kiekvienoje to 4 milijonų sąrašo svetainėje neišvengiamai nutekėjo neskelbtina informacija - jei svetainė, pavyzdžiui, naudodavo „Cloudflare“ vaizdo duomenims talpinti, nebūtų jokios slaptos informacijos, kuri galėtų nutekėti. Ir visai ne taip, kad kiekvienas nutekėjimas buvo pagrindinis slaptažodžių sąrašas - tai buvo atsitiktinė informacija galėtų bet kuriuo metu įtraukėte kelis atsitiktinius vartotojo vardus ir slaptažodžius.
Tačiau „Cloudflare“ taip pat pažymėjo, kad vienas iš jųnutekėjo asmeniniai raktai, kurie užpuolikui būtų suteikę prieigą prie daugybės vidinių „Cloudflare“ duomenų, įskaitant, galbūt, naudotojo vardus ir slaptažodžius. „Cloudflare“ buvo labai neaiškus šiuo klausimu, nepaisant to, kad tai kelia didelę grėsmę saugumui ir gali nutekėti daug jautresnė informacija
Nepaisant to, nėra jokio realaus būdo pasakyti, ar nutekėjo jūsų duomenys, ir kur, taigi šiuo metu vienintelis saugus veiksmas yra pakeiskite visus savo slaptažodžius. (Žinoma, galėtumėte peržiūrėti 4 milijonų svetainių sąrašą ir pakeisti tik tas, kurias naudoja „Cloudflare“, bet, sąžiningai, tikriausiai būtų lengviau ir greičiau tiesiog pakeisti visas jas.)
Čia galioja įprastos taisyklės su slaptažodžiais: nenaudokite to paties slaptažodžio keliose svetainėse, naudokite slaptažodžių tvarkyklę, tokią kaip „LastPass“, ir įjunkite dviejų faktorių autentifikaciją kiekvienoje svetainėje, kur tai leidžia. Jei nedarote šių dalykų, „Cloudflare“ klaida tikriausiai kelia mažiausiai rūpesčių - juk svetainėse visą laiką įsilaužiama, o jei visur naudojate tą patį slaptažodį, visiems jūsų duomenims nuolat kyla pavojus.
Jei jau naudojate slaptažodžių tvarkyklę, šis procesas turėtų būti lengvas (jei šiek tiek ilgas ir nuobodus). Bet prie šio šokio jau turėtumėte būti pripratę.
