Viimeksi kuluneiden kuukausien aikana suosittu Cloudflare-palvelussa oleva vika on saattanut paljastaa arkaluonteisia käyttäjätietoja, kuten käyttäjätunnuksia, salasanoja ja yksityisiä viestejä. Kuinka suuri tämä ongelma on, ja mitä sinun pitäisi tehdä?
Cloudflare on palvelu, joka tarjoaa turvallisuuden ja suorituskyvyn ominaisuuksia (muun muassa) laajalle verkkosivustolle. Se toimii käänteispalveluna, välittäjänä sinun - käyttäjän ja tietyn sivuston välillä. Kun vierailet kyseiselle sivustolle, sinut ohjataan johonkin Cloudflare-palvelimista varsinaisten sivuston palvelimien sijaan.
Tämä mahdollistaa, että Cloudflare varmistaa, että olet laillinen käyttäjä (siis suojaa palvelunestohyökkäyksiä vastaan), lataa sivusto nopeammin (koska se on välittänyt tietyt sivuston osat) ja suojaa seisokkeilta (koska niillä on useita palvelimia maailmanlaajuisesti ja voi palata mihinkään palvelimeen, jos jollakin on ongelma).
Cloudflare takaa, että DDoS-hyökkääjät eivät saa liikennettä varsinaiselle verkkosivustolle. Lyhyesti sanottuna: Cloudflare pyrkii tekemään sivustot nopeammin ja turvallisemmiksi, ja se on palvelu, jota monet sivustot käyttävät.
Valitettavasti mikään ei ole 100% turvallinen, vaikka sivusto käyttää palvelua kuten Cloudflare, ja vikoja tapahtuu. Tässä tapauksessa Cloudflare todella aiheutti tietoturvaongelma: HTML-komentosarjan käänteisessä välityspalvelinohjelmassa oleva virhe on aiheuttanut Cloudflare-palvelimia vuotamaan muistinsa sisältöä tietyissä olosuhteissa. (Jotkut ihmiset viittaavat tähän "Cloudbleediksi", pelata Heartbleed-bugista, joka vaikutti myös suuren osan Internetiin.)
Nämä tiedot voisivat sisältää kaikenlaisia arkaluonteisia tietoja, kuten käyttäjätunnuksia, salasanoja, yksityisiä viestejä, OAuth-tunnuksia ja paljon muuta. Vielä pahempaa osa hakukoneista indeksoitiin ja tallennettiin joitain tietoja (noin 700 sivua Cloudflare-ohjelman mukaan). Jos tiedät, mitä etsiä Googlessa, saatat löytää arkaluonteisia tietoja käyttäjiltä, jotka kirjautuivat sisään tietyn ajan kuluessa. vuotaa.
Jos tiedät, mitä etsiä, voit löytää joitakin Cloudflaren vuotavat tiedot hakukoneista. Tämä vika tuntui löytämättömäksi noin viisi kuukautta, ja se korjattiin sen jälkeen, kun se oli löydetty tällä viikolla. Cloudflare kertoo, että "suurin vaikutusjakso oli 13. helmikuuta ja 18. helmikuuta, sillä noin joka kolmasosa 3.300.000 HTTP-pyynnöstä Cloudflare-verkon kautta aiheutti muistivuotoa (eli noin 0.00003% pyynnöistä)."
Mutta palvelulla, joka on suosittua kuin Cloudflare, 0,00003% on vielä paljon. Jotkut ihmiset ovat koonneet luettelon sivustoista, jotka käyttävät Cloudflarea, ja siinä on yli 4 miljoonaa verkkotunnusta, mukaan lukien Yelp, OkCupid, Uber, Authy, Medium ja monet muut. (Jotkut mobiilisovellukset vaikuttavat myös.)
Voit lukea lisää tämän bugin teknisistä yksityiskohdista Cloudflare-blogissa, mutta se todennäköisesti kiinnostaa sinua vain, jos olet ohjelmoija - jos olet säännöllinen internet-käyttäjä, ainoa asia mitä sinun tarvitsee tietää on ...
Ensin: älä pani paljon liikaa. Kaikki tämän luettelon 4 miljoonan sivustot eivät välttämättä läpäisseet arkaluonteisia tietoja - jos sivusto käytti vain Cloudflarea kuvatietojen välimuistiin, esimerkiksi ei olisi arkaluonteisia tietoja vuotaa. Ja se ei ole, koska jokainen vuoto oli master-luettelo salasanoista joka tapauksessa - se oli satunnaisia tietoja, jotka voisi ovat sisällyttäneet muutaman satunnaisen käyttäjänimen ja salasanan milloin tahansa.
Cloudflare totesi kuitenkin myös, että yksi omasta avaimestasi vuotaa, mikä olisi antanut hyökkääjälle pääsyn useisiin sisäisiin Cloudflare-tietoihin, mukaan lukien mahdolliset käyttäjätunnukset ja salasanat. Cloudflare oli äärimmäisen epäselvä tässä nimenomaisessa kohdassa, vaikka se on merkittävä turvallisuusriskin, ja se voi vuotaa paljon arkaluonteisempia tietoja
Kaikki mitä sanottiin, ei ole todellista tapaa kertoa, onko jokin tietosi vuotanut ja missä, joten ainoa turvallinen toimintatapa juuri nyt on vaihda kaikki salasanasi. (Toki voit katsoa luetteloa 4 miljoonasta sivustosta ja muuttaa vain niitä, joita Cloudflare käyttää, mutta rehellisesti, se olisi todennäköisesti helpompaa ja nopeampaa vain muuttaa niitä.)
Tavallisia salasanoja koskevia sääntöjä sovelletaan täällä: älä käytä samaa salasanaa useilla sivustoilla, käytä salasanapäällikköä kuin LastPass ja ota käyttöön kaksitasoinen todennus jokaiselle sivustolle, joka sallii sen. Jos et tee näitä asioita, Cloudflare-bugi on luultavasti vähiten huolestuneesi - loppujen lopuksi sivustot hakkeroidaan koko ajan ja jos käytät samaa salasanaa kaikkialla, kaikki tietosi ovat vaarassa.
Jos käytät jo salasanan hallintaa, tämän prosessin pitäisi olla helppoa (jos vähän pitkä ja tylsä). Mutta sinun pitäisi tottua tanssiin jo nyt.
