{"id":7299,"title":"\u0413\u043e\u043b\u043e\u0441\u043e\u0432\u0430\u043d\u0438\u0435 \u043d\u0430 vc.ru: \u0432\u044b\u0431\u0438\u0440\u0430\u0435\u043c \u0441\u0430\u043c\u043e\u0435 \u043d\u0435\u0432\u044b\u043d\u043e\u0441\u0438\u043c\u043e\u0435 hr-\u043a\u043b\u0438\u0448\u0435","url":"\/redirect?component=advertising&id=7299&url=https:\/\/vc.ru\/special\/vacancy&placeBit=1&hash=fe5f20397da228f9ae42ee87503a61e3a31884b3954f080b0a1e6dbbf239fec6","isPaidAndBannersEnabled":false}

Cеть доставки контента CloudFlare рассказала о крупной утечке данных с сайтов-клиентов Статьи редакции

Представители компании-разработчика сервисов распределённого хранения контента Cloudflare рассказали об обнаруженной уязвимости, которая могла стать причиной утечки личных данных пользователей сайтов её клиентов. Скомпрометированные данные могут включать пароли, куки-файлы, аутентификационные токены в незашифрованном виде. Об этом представители компании сообщили в своём блоге.

Как отмечает Techcrunch, системой от Cloudflare пользуются более пяти миллионов сайтов. Злоумышленник, заметивший брешь, мог собирать личные данные посетителей сайтов, которые обычно должны храниться в зашифрованном виде. Кроме того, часть информации успела попасть в кэш поисковых систем, поэтому представители Cloudflare обратились к Google, Bing, Yahoo и другим компаниям, чтобы вручную устранить последствия вероятной утечки.

Баг содержался в старом коде компании, но проблема утечки памяти проявилась 22 сентября 2016 года, когда CloudFlare внедрила новый HTML-парсер, после чего системы компании стали интегрировать случайные фрагменты оперативной памяти своего сервера в содержимое веб-страниц, которые отправляются клиентам. 

Спустя пять месяцев специалист по безопасности Google Project Zero обнаружил баг и сообщил представителям Cloudflare. Наиболее серьёзная утечка могла произойти между 13 февраля и 18 февраля, когда примерно один из каждых 3,3 млн HTTP-запросов к сайтам-клиентам Cloudflare подвергал данные вскрытию.

Злоумышленники могли иметь доступ к данным в реальном времени или через кэш поисковых систем. В своём заявлении представители Cloudflare отметили, что даже на пике информация утекала только из 0,00003% всех запросов. В комментариях на Hacker News технический директор компании Джон Грэхем-Камминг отметил, что команда обнаружила утечку данных как минимум с 3438 уникальных доменов клиентов компании. Один из пользователей Github опубликовал список доменов, которые могли попасть под уязвимость, утверждая, что их общее число превышает 4 миллиона — включая 2ip.ru, 4pda.ru, avito.ru, rghost.ru, forbes.ru и rosbalt.ru.

Это не выглядит масштабной утечкой, отмечает Techcrunch, однако среди клиентов Cloudflare есть дейтинговые сайты и менеджеры паролей, которые хранят по-настоящему чувствительную информацию.

Баг появился в HTML-парсере, который Cloudflare использовал, чтобы ускорить быстродействие сайта — он подготавливает сайт для работы с платформой AMP от Google и превращает HTTP-ссылки в HTTPS. 

Системы самой Cloudflare также подверглись ошибке — «один из утёкших фрагментов информации был приватным ключом, который используется для связи между машинами Cloudflare», — написал Грэхем-Камминг. Ключ позволял компьютерам компании безопасно общаться друг с другом и был внедрён в 2013 году на фоне опасений о государственной слежке.

Грэхем-Камминг подчёркивает, что Cloudflare не обнаружила подтверждений тому, что хакеры успели обнаружить или использовать баг, отметив, что сотрудники заметили бы подозрительную активность в своей сети.

Команды Cloudflare в Сан-Франциско и Лондоне смогли избавиться от самой серьёзной проблемы за семь часов. Полное восстановление и избавление от бага заняло шесть дней, включая работу с поисковыми системами, которая позволила извлечь часть утекшей информации. 

Сотрудник Google Тавис Орманди, первым заметивший баг, рассказал, что наткнулся на неожиданную информацию в ходе работы над своим проектом и сперва подумал, что обнаружил баг в собственном коде. После ряда тестов он понял, что утечка происходит из систем Cloudflare — Орманди наблюдал чужие ключи шифрования, куки, пароли и HTTPS-запросы, личные сообщения с крупных сайтов знакомств, кадры из веб-чатов, данные бронирования гостиниц и кредитных карт.

Позже специалист удалил полученные образцы, но опубликовал отредактированные скриншоты с частью информации, которая просочилась с сайтов 1Password, Uber, Fitbit и OkCupid. Он также отметил, что, несмотря на заявления Cloudflare, сотрудники компании недооценивают опасность для клиентов, поскольку утёкшая информация могла осесть не только в кэше поисковых систем, но и в других местах.

{ "author_name": "Константин Панфилов", "author_type": "self", "tags": ["\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438"], "comments": 27, "likes": 17, "favorites": 1, "is_advertisement": false, "subsite_label": "flood", "id": 22165, "is_wide": true, "is_ugc": true, "date": "Fri, 24 Feb 2017 12:24:43 +0300", "is_special": false }
0
27 комментариев
Популярные
По порядку
Написать комментарий...

Тут то мы и переманиваем Avito, Forbes и Uber :)

4

Азаза, это вообще так круто, особенно касательно "облачных" менеджеров паролей:joy:
Это как же нужно не ценить свою безопасность, чтобы хранить свои пароли в облаке. И спасибо таким утечкам, понимаешь какой бренный наш мир и технологии, не смотря на заявления крупных компаний, что у них суровая и брутальная защита пользовательских данных (привет Айрбнб).

2

А на машине можно в аварию попасть. Чтож теперь, не ездить?

0

Давайте-давайте, утрируйте, приводите абсурдные аргументы и используйте другие демагогические приемы. А я по прежнему буду считать верхом идиотизма доверять свои пароли какому-то сервису и "облакам".
Людям в большей степени пофиг на свою безопасность на самом деле, они обменяют её на удобство и комфорт :smirk:

4

Но ведь ради удобства и комфорта почти всегда нужно чем-то жертвовать. Просто главное, что бы это была осознанная жертва и человек понимал последствия.

0

Именно! Только вот большинство пользователей таких сервисов не знают и не понимают последствий, в этом и проблема. Сервис им сказал "все будет окей, ребята! Пользуйтесь нашим сервисом и храните в нем пароли, мы не будем их подглядывать, честно-честно, и другим не дадим".
Пользователь подумает, ну, крупная компания фигни не скажет, отключает критическое мышление и верит на слово :)

2

Ну так чего вы там, железо своё на бэкдоры проверили или нет?

–1

Жопу с пальцем. Без крайностей никак? Непременно либо анус смазываем, либо уходим в подполье?

0

Не знаю, себе вопрос задайте.

0

Я уверен, что большинство менеджеров паролей сделает для безопасности паролей больше и более грамотно, чем большинство пользователей.

Да, есть грамотные пользователи. Но их мало. Менеджеры паролей приносят пользу большинству, но не всем нужны.

А как вы без них обеспечиваете синхронизацию паролей между дивайсами?

1

"Облачные" менеджеры паролей создают иллюзию безопасности. Ваши пароли к сервисам уже не только ваши. Теперь их знает сервис. И часто не только он. Чему подтверждение всякие интересные истории со взломами и утечками.
Смысл паролей чтобы его знал только один человек, иначе получается уже какой-то публичный доступ к защищаемым данным.

Я не обеспечиваю синхронизацию паролей. Я их помню. Мнемоническая техника.

1

Всё зависит от архитектуры. Если сервис шифрует пароли пользователя мастер-паролем, то никаких ваших паролей он не знает.

0

Конечно. Только вот это вы никак не можете проверить, вся информация о том, как сервис работает у вас со слов самого сервиса, что реально происходит в работе, знают только те, кто там работает, да и то, не все.
Так что это скользкая тема, я не доверяю подобным сервисам, но для условного среднестатистического Ивана он будет полезен, тут не спорю (хотя это как выбирать между двух зол и мы предполагаем что этот Иван совершенно не хочет учиться азам безопасности)

0

Вообще, мы (люди земли) предполагаем, что условные среднестатистические неквалифицированные параноики не будут выдавать свое мнение за экспертное.
https://support.1password.com/1password-security/

0

Прекратите кидаться ссылками на сервис, вот правда, если бы они хранили ваши данные плейн текстом вы думаете об этом написали бы в пресс-релизе? Вы сами лично, ручками, можете проверить их заявления о безопасности? Нет. Вам предлагается поверить им на слово.
Если уж в опенсорсных решениях находят критические дыры которые там годами висят (привет hearbleed), то что говорить о закрытых облачных сервисах.
Пользуйтесь, кто мешает, я свой выбор сделал, хранить пароли в голове, так надежнее.

0

Комментарий удален

А то! "We only hire the best" же.

1

Ставьте лайк, если используете везде один и тот же пароль. Посчитаем сколько нас.

–8

Менеджеры паролей решают

2
Приятный меч

В контексте статьи особенно 1Password решает

2

Наличие в доступе куска шифрованного криптоконтейнера - не особенный фейл в безопасности. Вот если кусок данных был не шифрован!..

0

А точно речь про утерянные пароли? С утра CF прислали письмо где указали что пароли не пострадали, лишь данные потенциальных посетителей сайтов

0

Криптовалютные биржи прислали уведомление, что надо сменить пароль и включить 2FA

0

Кто в курсе, щас перестал РКН банить IP CloudFlare?

0

не перестал

2

тот самый момент, когда радуешся, что для antiDDoS защиты выбрал другого провайдера

0

А какого кстати? Клаудфлэр хорош тем, что бесплатно предоставляет базовую защиту (вроде бы, пользоваться ещё не довелось).

1

использую скайпарк, но там бесплатного ничего нет

0
Читать все 27 комментариев
«Spotify: История продукта». Как мы разработали алгоритмы музыкальных рекомендаций

Из онлайн-библиотеки — в сервис персонализированных рекомендаций.

Недвижимость в разных странах: что там с арендой, риелторами и ипотекой

В разных статьях о релокейте мы касались темы недвижимости: наши герои рассказывали, за какую сумму арендуют квартиры и с чем столкнулись при аренде. Решили собрать в один материал информацию про несколько стран: Бразилию, Великобританию, Польшу и Словакию. Читайте и пишите в комментарии, про недвижимость в каких еще странах хотели бы узнать.

Дефицит цифровых кадров в России и их подготовка

Весь мир переходит в цифровую среду. Пока в ежегодном глобальном рейтинге конкурентоспособности Россия занимает 43-е место, но задерживаться на нем не намерена. Для этого правительство запустило программу «Цифровая экономика РФ», которая будет поддерживать цифровую экономику в стране и подготовку необходимых кадров.

«Типографика в будущем»: дизайнер описывает, как дизайн и шрифты показывают футуризм в научной фантастике Статьи редакции

Разбирает «Валли», «Бегущего по лезвию» и другие фильмы, показывает, как создать свой шрифт «из будущего».

«Российский рынок акций был и остаётся одним из самых привлекательных в мире»

Виталий Исаков, директор по инвестициям УК «Открытие» («Открытие Инвестиции»).

Ситидрайв выставил штраф в семь тысяч за свой поломанный Smart

Люблю каршеринг всей душой, даже если дорого и даже если смарт. История такая: в пт 15.10.21 вечером арендовала у ситидрайва на сутки smart м267но799 (других авто рядом не было), чтобы съездить в Конаково к бабушке, доехав до места, где ленинградка пересекается с ЦКАДом, авто перестало реагировать на педаль газа (обороты шли,машина рычала, но не…

Будущее наступит во вторник на OneRetailConf
Принцип «Всё смотрю». Часть 1

Дисклеймер. Я подметил принцип, которым, как мне кажется, пользуются многие руководители проектов, продуктов, компаний. Решил записать своё наблюдение в виде наглого утверждения — мол, вот так вот всё устроено! — чтобы дать уважаемым читателям материал для обсуждения и узнать их мнение.

Объявлены победители Finlanding
Как мы запустили MVP, получили первые продажи за 1,5 месяца и сэкономили 1 млн рублей

Рассказываем, как команда Minisol за 1,5 месяца помогла клиенту превратить идею в перспективный стартап и сколько стоил каждый этап.

Netflix оценил выгоду от «Игры в кальмара» почти в $900 млн Статьи редакции

В 40 раз больше суммы, которую онлайн-кинотеатр заплатил за сериал.

null