| 24 февраля 2017 г. — 4:13 утра по тихоокеанскому времени
Обновление 1: Список сайтов см. ниже.
Обновление 2: Мы получили краткое заявление от Uber
Очень небольшой объем трафика Uber проходит через Cloudflare. Было затронуто лишь несколько токенов, которые были немедленно изменены. Пароли не были раскрыты.
Обновление 3: OKCupid сделал аналогичное заявление
Cloudflare вчера вечером уведомил нас о своей ошибке, и мы изучаем ее влияние на участников OkCupid. Наше первоначальное расследование выявило минимальное, если вообще было, раскрытие данных. Если мы обнаружим, что пострадали какие-либо из наших пользователей, мы незамедлительно уведомим их и предпримем меры для их защиты.
Пользовательские данные с 3400 веб-сайтов были утечены и закэшированы поисковыми системами в результате ошибки в Cloudflare, сети доставки контента. Среди затронутых сайтов за несколько месяцев были крупные, такие как Uber, Fitbit и сайт знакомств OKCupid. 1Password также использует Cloudflare, но утверждает, что сквозное шифрование означает, что никакие данные клиентов не были раскрыты.
ArsTechnica сообщает, что утечки были замечены исследователем безопасности Google Тависом Орманди.
Мы наблюдали ключи шифрования, куки, пароли, фрагменты POST-данных и даже HTTPS-запросы к другим крупным сайтам, размещенным на Cloudflare, от других пользователей. Как только мы поняли, что видим, и каковы последствия, мы немедленно остановились и связались со службой безопасности Cloudflare.
Cloudflare признал, что произошла утечка, но Орманди и другие исследователи безопасности считают, что компания преуменьшает серьезность инцидента…
В блоге Cloudflare признается, что проблема была серьезной, но утверждается, что нет никаких свидетельств ее эксплуатации.
Ошибка была серьезной, поскольку утечка памяти могла содержать частную информацию, и потому что она была закэширована поисковыми системами. Мы также не обнаружили никаких свидетельств злонамеренных эксплойтов этой ошибки или других сообщений о ее существовании.
Орманди ответил, написав:
[В блоге компании] представлен отличный постмортем, но серьезно преуменьшены риски для клиентов.
Исследователь безопасности Райан Лаки согласен, говоря, что, хотя вероятность раскрытия паролей низка, такой риск существует, и пользователям рекомендуется их сменить.
Хотя сервис Cloudflare был быстро исправлен для устранения этой ошибки, данные постоянно утекали до этого момента — в течение нескольких месяцев. Часть этих данных была публично закэширована в поисковых системах, таких как Google, и удаляется. Другие данные могут существовать в других кэшах и сервисах по всему Интернету […]
Наиболее конфиденциальная информация, которая была раскрыта, — это аутентификационная информация и учетные данные. Компрометация этих данных может иметь долгосрочные и продолжающиеся последствия до тех пор, пока учетные данные не будут отозваны и заменены.С индивидуальной точки зрения, все просто — наиболее эффективным средством защиты является смена паролей.
Google, Bing, Yahoo и другие поисковые системы работали над очисткой закэшированных данных от утечки до того, как информация стала общедоступной, отсюда и задержка уведомления, но ArsTechnica отмечает, что некоторые закэшированные данные остаются.
Этот инцидент подчеркивает уязвимость даже самых безопасных сервисов к недостаткам стороннего кода. Буквально вчера стало известно, что Apple разорвала связи с одним из своих поставщиков серверов после обнаружения потенциальных проблем с безопасностью в обновлениях прошивки. Apple, по сообщениям, работает над созданием собственной облачной инфраструктуры – включая серверы – чтобы избежать риска компрометации оборудования случайно или преднамеренно.
Ознакомьтесь с нашим недавним руководством по управлению паролями.
Обновление:
Неофициальный список сайтов, которые могли быть затронуты, был опубликован на Github, но обратите внимание, что он включает все домены, использующие DNS Cloudflare – это гораздо большее число, чем те, которые используют затронутые сервисы.
Изображение: Университет Небраски-Линкольна