{"id":7298,"title":"\u041a\u0430\u043a\u0438\u0435 \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0438 \u0431\u0435\u0440\u0443\u0442 \u0441 \u0441\u043e\u0431\u043e\u0439 \u043f\u0440\u0435\u0434\u043f\u0440\u0438\u043d\u0438\u043c\u0430\u0442\u0435\u043b\u0438 \u0432 \u043f\u0440\u043e\u0448\u043b\u043e\u0435","url":"\/redirect?component=advertising&id=7298&url=https:\/\/vc.ru\/finance\/287640-predstavte-chto-vy-dolzhny-vernutsya-na-20-let-nazad-v-proshloe-kakie-sovremennye-tehnologii-zahvatite-s-soboy&placeBit=1&hash=4693aaf51fe37b122309350bd15ef7991e11843fbc9183a8a592e9af3c9af557","isPaidAndBannersEnabled":false}

Cеть доставки контента CloudFlare рассказала о крупной утечке данных с сайтов-клиентов Статьи редакции

Представители компании-разработчика сервисов распределённого хранения контента Cloudflare рассказали об обнаруженной уязвимости, которая могла стать причиной утечки личных данных пользователей сайтов её клиентов. Скомпрометированные данные могут включать пароли, куки-файлы, аутентификационные токены в незашифрованном виде. Об этом представители компании сообщили в своём блоге.

Как отмечает Techcrunch, системой от Cloudflare пользуются более пяти миллионов сайтов. Злоумышленник, заметивший брешь, мог собирать личные данные посетителей сайтов, которые обычно должны храниться в зашифрованном виде. Кроме того, часть информации успела попасть в кэш поисковых систем, поэтому представители Cloudflare обратились к Google, Bing, Yahoo и другим компаниям, чтобы вручную устранить последствия вероятной утечки.

Баг содержался в старом коде компании, но проблема утечки памяти проявилась 22 сентября 2016 года, когда CloudFlare внедрила новый HTML-парсер, после чего системы компании стали интегрировать случайные фрагменты оперативной памяти своего сервера в содержимое веб-страниц, которые отправляются клиентам. 

Спустя пять месяцев специалист по безопасности Google Project Zero обнаружил баг и сообщил представителям Cloudflare. Наиболее серьёзная утечка могла произойти между 13 февраля и 18 февраля, когда примерно один из каждых 3,3 млн HTTP-запросов к сайтам-клиентам Cloudflare подвергал данные вскрытию.

Злоумышленники могли иметь доступ к данным в реальном времени или через кэш поисковых систем. В своём заявлении представители Cloudflare отметили, что даже на пике информация утекала только из 0,00003% всех запросов. В комментариях на Hacker News технический директор компании Джон Грэхем-Камминг отметил, что команда обнаружила утечку данных как минимум с 3438 уникальных доменов клиентов компании. Один из пользователей Github опубликовал список доменов, которые могли попасть под уязвимость, утверждая, что их общее число превышает 4 миллиона — включая 2ip.ru, 4pda.ru, avito.ru, rghost.ru, forbes.ru и rosbalt.ru.

Это не выглядит масштабной утечкой, отмечает Techcrunch, однако среди клиентов Cloudflare есть дейтинговые сайты и менеджеры паролей, которые хранят по-настоящему чувствительную информацию.

Баг появился в HTML-парсере, который Cloudflare использовал, чтобы ускорить быстродействие сайта — он подготавливает сайт для работы с платформой AMP от Google и превращает HTTP-ссылки в HTTPS. 

Системы самой Cloudflare также подверглись ошибке — «один из утёкших фрагментов информации был приватным ключом, который используется для связи между машинами Cloudflare», — написал Грэхем-Камминг. Ключ позволял компьютерам компании безопасно общаться друг с другом и был внедрён в 2013 году на фоне опасений о государственной слежке.

Грэхем-Камминг подчёркивает, что Cloudflare не обнаружила подтверждений тому, что хакеры успели обнаружить или использовать баг, отметив, что сотрудники заметили бы подозрительную активность в своей сети.

Команды Cloudflare в Сан-Франциско и Лондоне смогли избавиться от самой серьёзной проблемы за семь часов. Полное восстановление и избавление от бага заняло шесть дней, включая работу с поисковыми системами, которая позволила извлечь часть утекшей информации. 

Сотрудник Google Тавис Орманди, первым заметивший баг, рассказал, что наткнулся на неожиданную информацию в ходе работы над своим проектом и сперва подумал, что обнаружил баг в собственном коде. После ряда тестов он понял, что утечка происходит из систем Cloudflare — Орманди наблюдал чужие ключи шифрования, куки, пароли и HTTPS-запросы, личные сообщения с крупных сайтов знакомств, кадры из веб-чатов, данные бронирования гостиниц и кредитных карт.

Позже специалист удалил полученные образцы, но опубликовал отредактированные скриншоты с частью информации, которая просочилась с сайтов 1Password, Uber, Fitbit и OkCupid. Он также отметил, что, несмотря на заявления Cloudflare, сотрудники компании недооценивают опасность для клиентов, поскольку утёкшая информация могла осесть не только в кэше поисковых систем, но и в других местах.

{ "author_name": "Константин Панфилов", "author_type": "self", "tags": ["\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438"], "comments": 27, "likes": 17, "favorites": 1, "is_advertisement": false, "subsite_label": "flood", "id": 22165, "is_wide": true, "is_ugc": true, "date": "Fri, 24 Feb 2017 12:24:43 +0300", "is_special": false }
0
27 комментариев
Популярные
По порядку
Написать комментарий...

Тут то мы и переманиваем Avito, Forbes и Uber :)

4

Азаза, это вообще так круто, особенно касательно "облачных" менеджеров паролей:joy:
Это как же нужно не ценить свою безопасность, чтобы хранить свои пароли в облаке. И спасибо таким утечкам, понимаешь какой бренный наш мир и технологии, не смотря на заявления крупных компаний, что у них суровая и брутальная защита пользовательских данных (привет Айрбнб).

2

А на машине можно в аварию попасть. Чтож теперь, не ездить?

0

Давайте-давайте, утрируйте, приводите абсурдные аргументы и используйте другие демагогические приемы. А я по прежнему буду считать верхом идиотизма доверять свои пароли какому-то сервису и "облакам".
Людям в большей степени пофиг на свою безопасность на самом деле, они обменяют её на удобство и комфорт :smirk:

4

Но ведь ради удобства и комфорта почти всегда нужно чем-то жертвовать. Просто главное, что бы это была осознанная жертва и человек понимал последствия.

0

Именно! Только вот большинство пользователей таких сервисов не знают и не понимают последствий, в этом и проблема. Сервис им сказал "все будет окей, ребята! Пользуйтесь нашим сервисом и храните в нем пароли, мы не будем их подглядывать, честно-честно, и другим не дадим".
Пользователь подумает, ну, крупная компания фигни не скажет, отключает критическое мышление и верит на слово :)

2

Ну так чего вы там, железо своё на бэкдоры проверили или нет?

–1

Жопу с пальцем. Без крайностей никак? Непременно либо анус смазываем, либо уходим в подполье?

0

Не знаю, себе вопрос задайте.

0

Я уверен, что большинство менеджеров паролей сделает для безопасности паролей больше и более грамотно, чем большинство пользователей.

Да, есть грамотные пользователи. Но их мало. Менеджеры паролей приносят пользу большинству, но не всем нужны.

А как вы без них обеспечиваете синхронизацию паролей между дивайсами?

1

"Облачные" менеджеры паролей создают иллюзию безопасности. Ваши пароли к сервисам уже не только ваши. Теперь их знает сервис. И часто не только он. Чему подтверждение всякие интересные истории со взломами и утечками.
Смысл паролей чтобы его знал только один человек, иначе получается уже какой-то публичный доступ к защищаемым данным.

Я не обеспечиваю синхронизацию паролей. Я их помню. Мнемоническая техника.

1

Всё зависит от архитектуры. Если сервис шифрует пароли пользователя мастер-паролем, то никаких ваших паролей он не знает.

0

Конечно. Только вот это вы никак не можете проверить, вся информация о том, как сервис работает у вас со слов самого сервиса, что реально происходит в работе, знают только те, кто там работает, да и то, не все.
Так что это скользкая тема, я не доверяю подобным сервисам, но для условного среднестатистического Ивана он будет полезен, тут не спорю (хотя это как выбирать между двух зол и мы предполагаем что этот Иван совершенно не хочет учиться азам безопасности)

0

Вообще, мы (люди земли) предполагаем, что условные среднестатистические неквалифицированные параноики не будут выдавать свое мнение за экспертное.
https://support.1password.com/1password-security/

0

Прекратите кидаться ссылками на сервис, вот правда, если бы они хранили ваши данные плейн текстом вы думаете об этом написали бы в пресс-релизе? Вы сами лично, ручками, можете проверить их заявления о безопасности? Нет. Вам предлагается поверить им на слово.
Если уж в опенсорсных решениях находят критические дыры которые там годами висят (привет hearbleed), то что говорить о закрытых облачных сервисах.
Пользуйтесь, кто мешает, я свой выбор сделал, хранить пароли в голове, так надежнее.

0

Комментарий удален

А то! "We only hire the best" же.

1

Ставьте лайк, если используете везде один и тот же пароль. Посчитаем сколько нас.

–8

Менеджеры паролей решают

2
Круглый корабль

В контексте статьи особенно 1Password решает

2

Наличие в доступе куска шифрованного криптоконтейнера - не особенный фейл в безопасности. Вот если кусок данных был не шифрован!..

0

А точно речь про утерянные пароли? С утра CF прислали письмо где указали что пароли не пострадали, лишь данные потенциальных посетителей сайтов

0

Криптовалютные биржи прислали уведомление, что надо сменить пароль и включить 2FA

0

Кто в курсе, щас перестал РКН банить IP CloudFlare?

0

не перестал

2

тот самый момент, когда радуешся, что для antiDDoS защиты выбрал другого провайдера

0

А какого кстати? Клаудфлэр хорош тем, что бесплатно предоставляет базовую защиту (вроде бы, пользоваться ещё не довелось).

1

использую скайпарк, но там бесплатного ничего нет

0
Читать все 27 комментариев
Куда утекли кадры?

Как сообщает издание “Коммерсантъ”, российские ретейлеры столкнулись с проблемой острой нехватки фронт-персонала. Причиной тому стал ряд обстоятельств, в том числе, массовый отток трудовых мигрантов и переход кадров в рынок онлайн-торговли.

Apple обновила дизайн MacBook Pro: вернули магнитную зарядку и HDMI-слот, добавили «чёлку» Статьи редакции

Два размера экрана — 14,2 дюйма по цене от 189 990 рублей и 16,2 дюйма по цене от 234 990 рублей.

Скриншот vc.ru
Apple запустила в продажу салфетку для протирки дисплея за 1990 рублей Статьи редакции

На презентации её не показывали.

Налоговый манифест креативных индустрий

В рамках «Недель российского бизнеса» прошел Форум по креативным индустриям и интеллектуальной собственности, на котором заместитель генерального директора «Газпром-медиа» Юлия Голубева сформулировала, при каких условиях может развиваться креативное предпринимательство в России.

Разработчик беспилотных судов для изучения океана Saildrone привлёк $100 млн Статьи редакции

Надводные дроны Saildrone изучают состояние океана и составляют карты морского дна.

Saildrone
Произвол от Тинькофф Банка или инструкция о том, как заморозить свои деньги. Массовая блокировка счетов граждан по 115ФЗ

Получается, чтобы заморозить все свои деньги в данном банке достаточно попросить их менеджеров увеличить лимит на снятие наличных. Крутой лайфхак, не так ли?

7 причин выбрать для своего бизнеса ОЭЗ «Технополис Москва»

Николай Корнев, генеральный директор ООО «Концерн Гудвин (Гудвин Европа)»

Никто, кроме нас: TalkBank стал единственной российской компанией, вошедшей в глобальный рейтинг AIFinTech100

Глобальный рейтинг AIFinTech100 ежегодно публикует список самых инновационных поставщиков решений в сфере искусственного интеллекта и машинного обучения для решения проблем финансового сектора. Россию представляла финтех-платформа TalkBank — единственная российская компания, попавшая в список 100 самых технологичных компаний со всего мира.

Кошелек скажет спасибо: зачем банки заводят подкасты, а люди их слушают

Подкастинг – очень молодой (сам термин вошел в оборот в 2004 году с подачи британского журналиста), но стремительно развивающийся рынок. Его перспективы быстро оценили и в банках.

Вкратце: два MacBook с MagSafe, HDMI-портом и чёлкой, новые чипы M1 Pro и M1 Max, а также AirPods 3 — анонсы Apple Статьи редакции

Коротко о главных анонсах.

null