Kaj je Cloudflare, in je res razpoka moje podatke vse preko interneta?
V zadnjih nekaj mesecih je lahko napaka v priljubljeni storitvi Cloudflare izpostavila občutljive uporabniške podatke, vključno z uporabniškimi imeni, gesli in zasebnimi sporočili, svetu v navadnem besedilu. Toda kako velik je ta problem in kaj morate storiti?
Kaj je Cloudflare?
Cloudflare je storitev, ki ponuja varnost in zmogljivost (med drugim) široki mreži spletnih mest. Deluje kot obratni posrednik, posrednik med vami - uporabnikom in danim spletnim mestom. Ko obiščete to spletno mesto, boste namesto strežnikov dejanskega spletnega mesta preusmerjeni na enega od strežnikov Cloudflare.
To omogoča, da vam Cloudflare zagotovi, da ste legitimen uporabnik (s tem zaščito pred napadi z zavrnitvijo storitve), naložite stran hitreje (ker so predpomnili nekatere dele spletnega mesta) in zaščitite pred izpadom (ker imajo po vsem svetu več strežnikov in več strežnikov) se lahko vrne na kateri koli strežnik, če ima težavo).
Cloudflare zagotavlja, da napadalci DDoS ne dobijo prometa do dejanskega spletnega mesta.Na kratko: Cloudflare si prizadeva, da bi bila spletna mesta hitrejša in varnejša, in to je storitev, ki jo uporabljajo številne spletne strani.
Kaj se je zgodilo? (In kaj je »Cloudbleed?«)
Na žalost nič ni 100% varna, tudi če spletna stran uporablja storitve, kot je Cloudflare, in se pojavijo napake. V tem primeru je Cloudflare dejansko povzročil varnostni problem: napaka v kodi povratnega proxyja, ki razčleni HTML, je povzročila, da so strežniki Cloudflareja v določenih okoliščinah puščali vsebino svojega pomnilnika. (Nekateri ljudje to označujejo kot »Cloudbleed«, predvajalnik, ki je prizadel tudi Heartbleed bug, ki je prizadel tudi velik del interneta.)
Ti podatki so lahko vključevali vse vrste občutljivih podatkov, vključno z uporabniškimi imeni, gesli, zasebnimi sporočili, žetoni OAuth in še veliko več. Še huje, nekateri podatki so bili indeksirani in predpomnjeni s strani nekaterih iskalnikov (približno 700 strani, glede na Cloudflare), tako da, če bi vedeli, kaj iskati v Googlu, bi lahko našli občutljive podatke od uporabnikov, ki so se prijavili ob določenem času uhajanje.
Če veste, kaj iskati, lahko najdete nekaj informacij o Cloudflareju, ki so razpete na iskalnikih.Ta žuželka ni bila odkrita približno pet mesecev in je bila odkrita ta teden. Cloudflare pravi: "Največje obdobje vpliva je bilo od 13. februarja do 18. februarja s približno 1 na vsakih 3.300 HTTP zahtevkov prek Cloudflare, kar lahko povzroči uhajanje pomnilnika (to je približno 0,00003% zahtev)."
Toda s tako priljubljeno storitvijo, kot je Cloudflare, je še vedno veliko 0,00003%. Nekateri ljudje so sestavljali seznam mest, ki uporabljajo Cloudflare, in vključuje več kot 4 milijone domen, vključno z Yelp, OkCupid, Uber, Authy, Medium in veliko veliko več. (To vpliva tudi na nekatere aplikacije za mobilne naprave.)
Več o tehničnih podrobnostih tega hrošča lahko preberete v spletnem dnevniku Cloudflare, čeprav vas bo verjetno zanimalo le, če ste programer - če ste redni uporabnik interneta, morate vedeti le…
Kaj naj naredim?
Prvič: ne preveč panike. Vsako spletno mesto s tega seznama s štirimi milijoni nujno ni pustilo občutljivih informacij - če je spletno mesto uporabljalo samo Cloudflare za predpomnjenje slikovnih podatkov, na primer ne bi prišlo do uhajanja občutljivih informacij. In to ni tako, kot da bi bil vsak puščaj glavni seznam gesel - to so bile naključne informacije, ki lahko so v vsakem trenutku vključili nekaj naključnih uporabniških imen in gesel.
Vendar pa je tudi Cloudflare opozoril, da je eden od njihovih zasebnih ključev ušel, kar bi napadalcu omogočilo dostop do številnih notranjih podatkov Cloudflare, vključno s potencialnimi uporabniškimi imeni in gesli. Cloudflare je bil v zvezi s to točko izjemno nejasen, čeprav je bilo to glavno varnostno tveganje, ki bi lahko razkrilo veliko bolj občutljivih informacij.
Vse, kar je rekel, ni pravega načina, da bi ugotovili, ali je kateri od vaših podatkov uhajal in kje, tako da je edini varen potek dejanja zdaj spremenite vsa gesla. (Seveda, lahko pogledate seznam 4 milijone spletnih mest in spremenite le tiste, ki jih uporablja Cloudflare, toda pošteno, verjetno bi bilo lažje in hitreje spremeniti vse.)
Tukaj veljajo običajna pravila za gesla: ne uporabljajte istega gesla na več mestih, uporabite upravitelja gesel, kot je LastPass, in vklopite preverjanje pristnosti z dvema faktorjema za vsako spletno mesto, ki to omogoča. Če ne delate teh stvari, je napaka Cloudflare verjetno vsaj ena od vaših skrbi - navsezadnje se spletna mesta ves čas vdrejo v hake in če uporabljate isto geslo povsod, so vsi vaši podatki redno ogroženi.
Če že uporabljate upravitelja gesel, bi moral biti ta postopek enostaven (če je dolg in dolg). Toda do tega plesa bi se že morali navaditi.