Cеть доставки контента CloudFlare рассказала о крупной утечке данных с сайтов-клиентов Статьи редакции

Представители компании-разработчика сервисов распределённого хранения контента Cloudflare рассказали об обнаруженной уязвимости, которая могла стать причиной утечки личных данных пользователей сайтов её клиентов. Скомпрометированные данные могут включать пароли, куки-файлы, аутентификационные токены в незашифрованном виде. Об этом представители компании сообщили в своём блоге.

Как отмечает Techcrunch, системой от Cloudflare пользуются более пяти миллионов сайтов. Злоумышленник, заметивший брешь, мог собирать личные данные посетителей сайтов, которые обычно должны храниться в зашифрованном виде. Кроме того, часть информации успела попасть в кэш поисковых систем, поэтому представители Cloudflare обратились к Google, Bing, Yahoo и другим компаниям, чтобы вручную устранить последствия вероятной утечки.

Баг содержался в старом коде компании, но проблема утечки памяти проявилась 22 сентября 2016 года, когда CloudFlare внедрила новый HTML-парсер, после чего системы компании стали интегрировать случайные фрагменты оперативной памяти своего сервера в содержимое веб-страниц, которые отправляются клиентам. 

Спустя пять месяцев специалист по безопасности Google Project Zero обнаружил баг и сообщил представителям Cloudflare. Наиболее серьёзная утечка могла произойти между 13 февраля и 18 февраля, когда примерно один из каждых 3,3 млн HTTP-запросов к сайтам-клиентам Cloudflare подвергал данные вскрытию.

Злоумышленники могли иметь доступ к данным в реальном времени или через кэш поисковых систем. В своём заявлении представители Cloudflare отметили, что даже на пике информация утекала только из 0,00003% всех запросов. В комментариях на Hacker News технический директор компании Джон Грэхем-Камминг отметил, что команда обнаружила утечку данных как минимум с 3438 уникальных доменов клиентов компании. Один из пользователей Github опубликовал список доменов, которые могли попасть под уязвимость, утверждая, что их общее число превышает 4 миллиона — включая 2ip.ru, 4pda.ru, avito.ru, rghost.ru, forbes.ru и rosbalt.ru.

Это не выглядит масштабной утечкой, отмечает Techcrunch, однако среди клиентов Cloudflare есть дейтинговые сайты и менеджеры паролей, которые хранят по-настоящему чувствительную информацию.

Баг появился в HTML-парсере, который Cloudflare использовал, чтобы ускорить быстродействие сайта — он подготавливает сайт для работы с платформой AMP от Google и превращает HTTP-ссылки в HTTPS. 

Системы самой Cloudflare также подверглись ошибке — «один из утёкших фрагментов информации был приватным ключом, который используется для связи между машинами Cloudflare», — написал Грэхем-Камминг. Ключ позволял компьютерам компании безопасно общаться друг с другом и был внедрён в 2013 году на фоне опасений о государственной слежке.

Грэхем-Камминг подчёркивает, что Cloudflare не обнаружила подтверждений тому, что хакеры успели обнаружить или использовать баг, отметив, что сотрудники заметили бы подозрительную активность в своей сети.

Команды Cloudflare в Сан-Франциско и Лондоне смогли избавиться от самой серьёзной проблемы за семь часов. Полное восстановление и избавление от бага заняло шесть дней, включая работу с поисковыми системами, которая позволила извлечь часть утекшей информации. 

Сотрудник Google Тавис Орманди, первым заметивший баг, рассказал, что наткнулся на неожиданную информацию в ходе работы над своим проектом и сперва подумал, что обнаружил баг в собственном коде. После ряда тестов он понял, что утечка происходит из систем Cloudflare — Орманди наблюдал чужие ключи шифрования, куки, пароли и HTTPS-запросы, личные сообщения с крупных сайтов знакомств, кадры из веб-чатов, данные бронирования гостиниц и кредитных карт.

Позже специалист удалил полученные образцы, но опубликовал отредактированные скриншоты с частью информации, которая просочилась с сайтов 1Password, Uber, Fitbit и OkCupid. Он также отметил, что, несмотря на заявления Cloudflare, сотрудники компании недооценивают опасность для клиентов, поскольку утёкшая информация могла осесть не только в кэше поисковых систем, но и в других местах.

0
27 комментариев
Написать комментарий...
Ваня Андриянов

Тут то мы и переманиваем Avito, Forbes и Uber :)

Ответить
Развернуть ветку
Yo Yo

Азаза, это вообще так круто, особенно касательно "облачных" менеджеров паролей:joy:
Это как же нужно не ценить свою безопасность, чтобы хранить свои пароли в облаке. И спасибо таким утечкам, понимаешь какой бренный наш мир и технологии, не смотря на заявления крупных компаний, что у них суровая и брутальная защита пользовательских данных (привет Айрбнб).

Ответить
Развернуть ветку
eden lane

А на машине можно в аварию попасть. Чтож теперь, не ездить?

Ответить
Развернуть ветку
Yo Yo

Давайте-давайте, утрируйте, приводите абсурдные аргументы и используйте другие демагогические приемы. А я по прежнему буду считать верхом идиотизма доверять свои пароли какому-то сервису и "облакам".
Людям в большей степени пофиг на свою безопасность на самом деле, они обменяют её на удобство и комфорт :smirk:

Ответить
Развернуть ветку
eden lane

Но ведь ради удобства и комфорта почти всегда нужно чем-то жертвовать. Просто главное, что бы это была осознанная жертва и человек понимал последствия.

Ответить
Развернуть ветку
Yo Yo

Именно! Только вот большинство пользователей таких сервисов не знают и не понимают последствий, в этом и проблема. Сервис им сказал "все будет окей, ребята! Пользуйтесь нашим сервисом и храните в нем пароли, мы не будем их подглядывать, честно-честно, и другим не дадим".
Пользователь подумает, ну, крупная компания фигни не скажет, отключает критическое мышление и верит на слово :)

Ответить
Развернуть ветку
Николай Костиков

Ну так чего вы там, железо своё на бэкдоры проверили или нет?

Ответить
Развернуть ветку
John Shmidt

Жопу с пальцем. Без крайностей никак? Непременно либо анус смазываем, либо уходим в подполье?

Ответить
Развернуть ветку
Николай Костиков

Не знаю, себе вопрос задайте.

Ответить
Развернуть ветку
Denis Kiselev

Я уверен, что большинство менеджеров паролей сделает для безопасности паролей больше и более грамотно, чем большинство пользователей.

Да, есть грамотные пользователи. Но их мало. Менеджеры паролей приносят пользу большинству, но не всем нужны.

А как вы без них обеспечиваете синхронизацию паролей между дивайсами?

Ответить
Развернуть ветку
Yo Yo

"Облачные" менеджеры паролей создают иллюзию безопасности. Ваши пароли к сервисам уже не только ваши. Теперь их знает сервис. И часто не только он. Чему подтверждение всякие интересные истории со взломами и утечками.
Смысл паролей чтобы его знал только один человек, иначе получается уже какой-то публичный доступ к защищаемым данным.

Я не обеспечиваю синхронизацию паролей. Я их помню. Мнемоническая техника.

Ответить
Развернуть ветку
Николай Костиков

Всё зависит от архитектуры. Если сервис шифрует пароли пользователя мастер-паролем, то никаких ваших паролей он не знает.

Ответить
Развернуть ветку
Yo Yo

Конечно. Только вот это вы никак не можете проверить, вся информация о том, как сервис работает у вас со слов самого сервиса, что реально происходит в работе, знают только те, кто там работает, да и то, не все.
Так что это скользкая тема, я не доверяю подобным сервисам, но для условного среднестатистического Ивана он будет полезен, тут не спорю (хотя это как выбирать между двух зол и мы предполагаем что этот Иван совершенно не хочет учиться азам безопасности)

Ответить
Развернуть ветку
Sasha Vlasov

Вообще, мы (люди земли) предполагаем, что условные среднестатистические неквалифицированные параноики не будут выдавать свое мнение за экспертное.
https://support.1password.com/1password-security/

Ответить
Развернуть ветку
Yo Yo

Прекратите кидаться ссылками на сервис, вот правда, если бы они хранили ваши данные плейн текстом вы думаете об этом написали бы в пресс-релизе? Вы сами лично, ручками, можете проверить их заявления о безопасности? Нет. Вам предлагается поверить им на слово.
Если уж в опенсорсных решениях находят критические дыры которые там годами висят (привет hearbleed), то что говорить о закрытых облачных сервисах.
Пользуйтесь, кто мешает, я свой выбор сделал, хранить пароли в голове, так надежнее.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
John Shmidt

А то! "We only hire the best" же.

Ответить
Развернуть ветку
Артём Абаев

Ставьте лайк, если используете везде один и тот же пароль. Посчитаем сколько нас.

Ответить
Развернуть ветку
Denis Kiselev

Менеджеры паролей решают

Ответить
Развернуть ветку
Alexander Matveev

В контексте статьи особенно 1Password решает

Ответить
Развернуть ветку
Denis Kiselev

Наличие в доступе куска шифрованного криптоконтейнера - не особенный фейл в безопасности. Вот если кусок данных был не шифрован!..

Ответить
Развернуть ветку
Igor Kuzminov

А точно речь про утерянные пароли? С утра CF прислали письмо где указали что пароли не пострадали, лишь данные потенциальных посетителей сайтов

Ответить
Развернуть ветку
Артём Абаев

Криптовалютные биржи прислали уведомление, что надо сменить пароль и включить 2FA

Ответить
Развернуть ветку
Alexander Kuznetsov

Кто в курсе, щас перестал РКН банить IP CloudFlare?

Ответить
Развернуть ветку
хруст

не перестал

Ответить
Развернуть ветку
Роман Романович

тот самый момент, когда радуешся, что для antiDDoS защиты выбрал другого провайдера

Ответить
Развернуть ветку
Yo Yo

А какого кстати? Клаудфлэр хорош тем, что бесплатно предоставляет базовую защиту (вроде бы, пользоваться ещё не довелось).

Ответить
Развернуть ветку
Роман Романович

использую скайпарк, но там бесплатного ничего нет

Ответить
Развернуть ветку
24 комментария
Раскрывать всегда