Cеть доставки контента CloudFlare рассказала о крупной утечке данных с сайтов-клиентов Материал редакции

Представители компании-разработчика сервисов распределённого хранения контента Cloudflare рассказали об обнаруженной уязвимости, которая могла стать причиной утечки личных данных пользователей сайтов её клиентов. Скомпрометированные данные могут включать пароли, куки-файлы, аутентификационные токены в незашифрованном виде. Об этом представители компании сообщили в своём блоге.

В закладки

Как отмечает Techcrunch, системой от Cloudflare пользуются более пяти миллионов сайтов. Злоумышленник, заметивший брешь, мог собирать личные данные посетителей сайтов, которые обычно должны храниться в зашифрованном виде. Кроме того, часть информации успела попасть в кэш поисковых систем, поэтому представители Cloudflare обратились к Google, Bing, Yahoo и другим компаниям, чтобы вручную устранить последствия вероятной утечки.

Баг содержался в старом коде компании, но проблема утечки памяти проявилась 22 сентября 2016 года, когда CloudFlare внедрила новый HTML-парсер, после чего системы компании стали интегрировать случайные фрагменты оперативной памяти своего сервера в содержимое веб-страниц, которые отправляются клиентам. 

Спустя пять месяцев специалист по безопасности Google Project Zero обнаружил баг и сообщил представителям Cloudflare. Наиболее серьёзная утечка могла произойти между 13 февраля и 18 февраля, когда примерно один из каждых 3,3 млн HTTP-запросов к сайтам-клиентам Cloudflare подвергал данные вскрытию.

Злоумышленники могли иметь доступ к данным в реальном времени или через кэш поисковых систем. В своём заявлении представители Cloudflare отметили, что даже на пике информация утекала только из 0,00003% всех запросов. В комментариях на Hacker News технический директор компании Джон Грэхем-Камминг отметил, что команда обнаружила утечку данных как минимум с 3438 уникальных доменов клиентов компании. Один из пользователей Github опубликовал список доменов, которые могли попасть под уязвимость, утверждая, что их общее число превышает 4 миллиона — включая 2ip.ru, 4pda.ru, avito.ru, rghost.ru, forbes.ru и rosbalt.ru.

Это не выглядит масштабной утечкой, отмечает Techcrunch, однако среди клиентов Cloudflare есть дейтинговые сайты и менеджеры паролей, которые хранят по-настоящему чувствительную информацию.

Баг появился в HTML-парсере, который Cloudflare использовал, чтобы ускорить быстродействие сайта — он подготавливает сайт для работы с платформой AMP от Google и превращает HTTP-ссылки в HTTPS. 

Системы самой Cloudflare также подверглись ошибке — «один из утёкших фрагментов информации был приватным ключом, который используется для связи между машинами Cloudflare», — написал Грэхем-Камминг. Ключ позволял компьютерам компании безопасно общаться друг с другом и был внедрён в 2013 году на фоне опасений о государственной слежке.

Грэхем-Камминг подчёркивает, что Cloudflare не обнаружила подтверждений тому, что хакеры успели обнаружить или использовать баг, отметив, что сотрудники заметили бы подозрительную активность в своей сети.

Команды Cloudflare в Сан-Франциско и Лондоне смогли избавиться от самой серьёзной проблемы за семь часов. Полное восстановление и избавление от бага заняло шесть дней, включая работу с поисковыми системами, которая позволила извлечь часть утекшей информации. 

Сотрудник Google Тавис Орманди, первым заметивший баг, рассказал, что наткнулся на неожиданную информацию в ходе работы над своим проектом и сперва подумал, что обнаружил баг в собственном коде. После ряда тестов он понял, что утечка происходит из систем Cloudflare — Орманди наблюдал чужие ключи шифрования, куки, пароли и HTTPS-запросы, личные сообщения с крупных сайтов знакомств, кадры из веб-чатов, данные бронирования гостиниц и кредитных карт.

Позже специалист удалил полученные образцы, но опубликовал отредактированные скриншоты с частью информации, которая просочилась с сайтов 1Password, Uber, Fitbit и OkCupid. Он также отметил, что, несмотря на заявления Cloudflare, сотрудники компании недооценивают опасность для клиентов, поскольку утёкшая информация могла осесть не только в кэше поисковых систем, но и в других местах.

{ "author_name": "Константин Панфилов", "author_type": "editor", "tags": ["\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438"], "comments": 27, "likes": 17, "favorites": 1, "is_advertisement": false, "subsite_label": "flood", "id": 22165, "is_wide": false, "is_ugc": false, "date": "Fri, 24 Feb 2017 12:24:43 +0300", "is_special": false }
Промо
Коротко: онлайн-хакатон для дата-сайентистов с призовым фондом в $25 тысяч
Здесь ждут и любителей, и профессионалов, но конкуренция будет серьёзной.
Объявление на vc.ru
0
27 комментариев
Популярные
По порядку
Написать комментарий...
4

Тут то мы и переманиваем Avito, Forbes и Uber :)

Ответить
2

Азаза, это вообще так круто, особенно касательно "облачных" менеджеров паролей:joy:
Это как же нужно не ценить свою безопасность, чтобы хранить свои пароли в облаке. И спасибо таким утечкам, понимаешь какой бренный наш мир и технологии, не смотря на заявления крупных компаний, что у них суровая и брутальная защита пользовательских данных (привет Айрбнб).

Ответить
0

А на машине можно в аварию попасть. Чтож теперь, не ездить?

Ответить
4

Давайте-давайте, утрируйте, приводите абсурдные аргументы и используйте другие демагогические приемы. А я по прежнему буду считать верхом идиотизма доверять свои пароли какому-то сервису и "облакам".
Людям в большей степени пофиг на свою безопасность на самом деле, они обменяют её на удобство и комфорт :smirk:

Ответить
0

Но ведь ради удобства и комфорта почти всегда нужно чем-то жертвовать. Просто главное, что бы это была осознанная жертва и человек понимал последствия.

Ответить
2

Именно! Только вот большинство пользователей таких сервисов не знают и не понимают последствий, в этом и проблема. Сервис им сказал "все будет окей, ребята! Пользуйтесь нашим сервисом и храните в нем пароли, мы не будем их подглядывать, честно-честно, и другим не дадим".
Пользователь подумает, ну, крупная компания фигни не скажет, отключает критическое мышление и верит на слово :)

Ответить
–1

Ну так чего вы там, железо своё на бэкдоры проверили или нет?

Ответить
0

Жопу с пальцем. Без крайностей никак? Непременно либо анус смазываем, либо уходим в подполье?

Ответить
0

Не знаю, себе вопрос задайте.

Ответить
1

Я уверен, что большинство менеджеров паролей сделает для безопасности паролей больше и более грамотно, чем большинство пользователей.

Да, есть грамотные пользователи. Но их мало. Менеджеры паролей приносят пользу большинству, но не всем нужны.

А как вы без них обеспечиваете синхронизацию паролей между дивайсами?

Ответить
1

"Облачные" менеджеры паролей создают иллюзию безопасности. Ваши пароли к сервисам уже не только ваши. Теперь их знает сервис. И часто не только он. Чему подтверждение всякие интересные истории со взломами и утечками.
Смысл паролей чтобы его знал только один человек, иначе получается уже какой-то публичный доступ к защищаемым данным.

Я не обеспечиваю синхронизацию паролей. Я их помню. Мнемоническая техника.

Ответить
0

Всё зависит от архитектуры. Если сервис шифрует пароли пользователя мастер-паролем, то никаких ваших паролей он не знает.

Ответить
0

Конечно. Только вот это вы никак не можете проверить, вся информация о том, как сервис работает у вас со слов самого сервиса, что реально происходит в работе, знают только те, кто там работает, да и то, не все.
Так что это скользкая тема, я не доверяю подобным сервисам, но для условного среднестатистического Ивана он будет полезен, тут не спорю (хотя это как выбирать между двух зол и мы предполагаем что этот Иван совершенно не хочет учиться азам безопасности)

Ответить
0

Вообще, мы (люди земли) предполагаем, что условные среднестатистические неквалифицированные параноики не будут выдавать свое мнение за экспертное.
https://support.1password.com/1password-security/

Ответить
0

Прекратите кидаться ссылками на сервис, вот правда, если бы они хранили ваши данные плейн текстом вы думаете об этом написали бы в пресс-релизе? Вы сами лично, ручками, можете проверить их заявления о безопасности? Нет. Вам предлагается поверить им на слово.
Если уж в опенсорсных решениях находят критические дыры которые там годами висят (привет hearbleed), то что говорить о закрытых облачных сервисах.
Пользуйтесь, кто мешает, я свой выбор сделал, хранить пароли в голове, так надежнее.

Ответить

Комментарий удален

1

А то! "We only hire the best" же.

Ответить
–8

Ставьте лайк, если используете везде один и тот же пароль. Посчитаем сколько нас.

Ответить
2

Менеджеры паролей решают

Ответить
2

В контексте статьи особенно 1Password решает

Ответить
0

Наличие в доступе куска шифрованного криптоконтейнера - не особенный фейл в безопасности. Вот если кусок данных был не шифрован!..

Ответить
0

А точно речь про утерянные пароли? С утра CF прислали письмо где указали что пароли не пострадали, лишь данные потенциальных посетителей сайтов

Ответить
0

Криптовалютные биржи прислали уведомление, что надо сменить пароль и включить 2FA

Ответить
0

Кто в курсе, щас перестал РКН банить IP CloudFlare?

Ответить
2

не перестал

Ответить
0

тот самый момент, когда радуешся, что для antiDDoS защиты выбрал другого провайдера

Ответить
1

А какого кстати? Клаудфлэр хорош тем, что бесплатно предоставляет базовую защиту (вроде бы, пользоваться ещё не довелось).

Ответить
0

использую скайпарк, но там бесплатного ничего нет

Ответить

Прямой эфир