Cеть доставки контента CloudFlare рассказала о крупной утечке данных с сайтов-клиентов Статьи редакции
Представители компании-разработчика сервисов распределённого хранения контента Cloudflare рассказали об обнаруженной уязвимости, которая могла стать причиной утечки личных данных пользователей сайтов её клиентов. Скомпрометированные данные могут включать пароли, куки-файлы, аутентификационные токены в незашифрованном виде. Об этом представители компании сообщили в своём блоге.
Как отмечает Techcrunch, системой от Cloudflare пользуются более пяти миллионов сайтов. Злоумышленник, заметивший брешь, мог собирать личные данные посетителей сайтов, которые обычно должны храниться в зашифрованном виде. Кроме того, часть информации успела попасть в кэш поисковых систем, поэтому представители Cloudflare обратились к Google, Bing, Yahoo и другим компаниям, чтобы вручную устранить последствия вероятной утечки.
Баг содержался в старом коде компании, но проблема утечки памяти проявилась 22 сентября 2016 года, когда CloudFlare внедрила новый HTML-парсер, после чего системы компании стали интегрировать случайные фрагменты оперативной памяти своего сервера в содержимое веб-страниц, которые отправляются клиентам.
Спустя пять месяцев специалист по безопасности Google Project Zero обнаружил баг и сообщил представителям Cloudflare. Наиболее серьёзная утечка могла произойти между 13 февраля и 18 февраля, когда примерно один из каждых 3,3 млн HTTP-запросов к сайтам-клиентам Cloudflare подвергал данные вскрытию.
Злоумышленники могли иметь доступ к данным в реальном времени или через кэш поисковых систем. В своём заявлении представители Cloudflare отметили, что даже на пике информация утекала только из 0,00003% всех запросов. В комментариях на Hacker News технический директор компании Джон Грэхем-Камминг отметил, что команда обнаружила утечку данных как минимум с 3438 уникальных доменов клиентов компании. Один из пользователей Github опубликовал список доменов, которые могли попасть под уязвимость, утверждая, что их общее число превышает 4 миллиона — включая 2ip.ru, 4pda.ru, avito.ru, rghost.ru, forbes.ru и rosbalt.ru.
Это не выглядит масштабной утечкой, отмечает Techcrunch, однако среди клиентов Cloudflare есть дейтинговые сайты и менеджеры паролей, которые хранят по-настоящему чувствительную информацию.
Баг появился в HTML-парсере, который Cloudflare использовал, чтобы ускорить быстродействие сайта — он подготавливает сайт для работы с платформой AMP от Google и превращает HTTP-ссылки в HTTPS.
Системы самой Cloudflare также подверглись ошибке — «один из утёкших фрагментов информации был приватным ключом, который используется для связи между машинами Cloudflare», — написал Грэхем-Камминг. Ключ позволял компьютерам компании безопасно общаться друг с другом и был внедрён в 2013 году на фоне опасений о государственной слежке.
Грэхем-Камминг подчёркивает, что Cloudflare не обнаружила подтверждений тому, что хакеры успели обнаружить или использовать баг, отметив, что сотрудники заметили бы подозрительную активность в своей сети.
Команды Cloudflare в Сан-Франциско и Лондоне смогли избавиться от самой серьёзной проблемы за семь часов. Полное восстановление и избавление от бага заняло шесть дней, включая работу с поисковыми системами, которая позволила извлечь часть утекшей информации.
Сотрудник Google Тавис Орманди, первым заметивший баг, рассказал, что наткнулся на неожиданную информацию в ходе работы над своим проектом и сперва подумал, что обнаружил баг в собственном коде. После ряда тестов он понял, что утечка происходит из систем Cloudflare — Орманди наблюдал чужие ключи шифрования, куки, пароли и HTTPS-запросы, личные сообщения с крупных сайтов знакомств, кадры из веб-чатов, данные бронирования гостиниц и кредитных карт.
Позже специалист удалил полученные образцы, но опубликовал отредактированные скриншоты с частью информации, которая просочилась с сайтов 1Password, Uber, Fitbit и OkCupid. Он также отметил, что, несмотря на заявления Cloudflare, сотрудники компании недооценивают опасность для клиентов, поскольку утёкшая информация могла осесть не только в кэше поисковых систем, но и в других местах.
Тут то мы и переманиваем Avito, Forbes и Uber :)
Азаза, это вообще так круто, особенно касательно "облачных" менеджеров паролей:joy:
Это как же нужно не ценить свою безопасность, чтобы хранить свои пароли в облаке. И спасибо таким утечкам, понимаешь какой бренный наш мир и технологии, не смотря на заявления крупных компаний, что у них суровая и брутальная защита пользовательских данных (привет Айрбнб).
А на машине можно в аварию попасть. Чтож теперь, не ездить?
Давайте-давайте, утрируйте, приводите абсурдные аргументы и используйте другие демагогические приемы. А я по прежнему буду считать верхом идиотизма доверять свои пароли какому-то сервису и "облакам".
Людям в большей степени пофиг на свою безопасность на самом деле, они обменяют её на удобство и комфорт :smirk:
Но ведь ради удобства и комфорта почти всегда нужно чем-то жертвовать. Просто главное, что бы это была осознанная жертва и человек понимал последствия.
Именно! Только вот большинство пользователей таких сервисов не знают и не понимают последствий, в этом и проблема. Сервис им сказал "все будет окей, ребята! Пользуйтесь нашим сервисом и храните в нем пароли, мы не будем их подглядывать, честно-честно, и другим не дадим".
Пользователь подумает, ну, крупная компания фигни не скажет, отключает критическое мышление и верит на слово :)
Ну так чего вы там, железо своё на бэкдоры проверили или нет?
Жопу с пальцем. Без крайностей никак? Непременно либо анус смазываем, либо уходим в подполье?
Не знаю, себе вопрос задайте.
Я уверен, что большинство менеджеров паролей сделает для безопасности паролей больше и более грамотно, чем большинство пользователей.
Да, есть грамотные пользователи. Но их мало. Менеджеры паролей приносят пользу большинству, но не всем нужны.
А как вы без них обеспечиваете синхронизацию паролей между дивайсами?
"Облачные" менеджеры паролей создают иллюзию безопасности. Ваши пароли к сервисам уже не только ваши. Теперь их знает сервис. И часто не только он. Чему подтверждение всякие интересные истории со взломами и утечками.
Смысл паролей чтобы его знал только один человек, иначе получается уже какой-то публичный доступ к защищаемым данным.
Я не обеспечиваю синхронизацию паролей. Я их помню. Мнемоническая техника.
Всё зависит от архитектуры. Если сервис шифрует пароли пользователя мастер-паролем, то никаких ваших паролей он не знает.
Конечно. Только вот это вы никак не можете проверить, вся информация о том, как сервис работает у вас со слов самого сервиса, что реально происходит в работе, знают только те, кто там работает, да и то, не все.
Так что это скользкая тема, я не доверяю подобным сервисам, но для условного среднестатистического Ивана он будет полезен, тут не спорю (хотя это как выбирать между двух зол и мы предполагаем что этот Иван совершенно не хочет учиться азам безопасности)
Вообще, мы (люди земли) предполагаем, что условные среднестатистические неквалифицированные параноики не будут выдавать свое мнение за экспертное.
https://support.1password.com/1password-security/
Прекратите кидаться ссылками на сервис, вот правда, если бы они хранили ваши данные плейн текстом вы думаете об этом написали бы в пресс-релизе? Вы сами лично, ручками, можете проверить их заявления о безопасности? Нет. Вам предлагается поверить им на слово.
Если уж в опенсорсных решениях находят критические дыры которые там годами висят (привет hearbleed), то что говорить о закрытых облачных сервисах.
Пользуйтесь, кто мешает, я свой выбор сделал, хранить пароли в голове, так надежнее.
Комментарий удален модератором
А то! "We only hire the best" же.
Ставьте лайк, если используете везде один и тот же пароль. Посчитаем сколько нас.
Менеджеры паролей решают
В контексте статьи особенно 1Password решает
Наличие в доступе куска шифрованного криптоконтейнера - не особенный фейл в безопасности. Вот если кусок данных был не шифрован!..
А точно речь про утерянные пароли? С утра CF прислали письмо где указали что пароли не пострадали, лишь данные потенциальных посетителей сайтов
Криптовалютные биржи прислали уведомление, что надо сменить пароль и включить 2FA
Кто в курсе, щас перестал РКН банить IP CloudFlare?
не перестал
тот самый момент, когда радуешся, что для antiDDoS защиты выбрал другого провайдера
А какого кстати? Клаудфлэр хорош тем, что бесплатно предоставляет базовую защиту (вроде бы, пользоваться ещё не довелось).
использую скайпарк, но там бесплатного ничего нет