Уязвимость популярного сервиса Cloudflare привела к утечке паролей, сообщений с сайтов знакомств и других данных пользователей
24 февраля 2017 года
Популярный сервис Cloudflare, обеспечивающий защиту сайтов от DDoS-атак, сообщил об выявлении уязвимости, которая привела к утечке значительного объема личных данных пользователей, включая пароли, данные о бронировании отелей, сообщения с сайтов знакомств и другую информацию. Подробное описание уязвимости и ее последствий было опубликовано в блоге Cloudflare 23 февраля.
Как пишет The Verge, 18 февраля на существование уязвимости в системах Cloudflare, которая возникла еще 22 сентября прошлого года, обратил внимание Тэвис Орманди, член команды Google Project Zero, занимающейся защитой интернет-пространства от различных угроз.
Эксперт выяснил, что при обычном обращении к определенной странице в сети Cloudflare сервис отдавал не только запрашиваемые данные, но и часть персональных данных с какого-нибудь другого сервиса, пишет "Медуза". Такое происходило, когда та или иная страница с точки зрения одного из механизмов Cloudflare была составлена с ошибками. Кроме того, из-за уязвимости некоторый объем конфиденциальных данных попал в открытый доступ, и эти сведения были проиндексированы интернет-поисковиками.
"До этого инцидента и не представлял, какая значительная часть интернета пользуется услугами Cloudflare. Речь идет о полных https-запросах, IP-адресах клиентов, паролях, ключах, куках, данных, обо всем", – написал Орманди в блоге Google Project Zero.
Обнаружив проблему Орманди проинформировал о ней специалистов Cloudflare, которые оперативно исправили ошибку, а затем связались с поисковиками, чтобы те удалили попавшие в кэш страницы с конфиденциальной информацией. Как утверждают представители сервиса, им неизвестно о случаях использования уязвимости злоумышленниками.
Клиентами Cloudflare являются многие крупные сайты. Согласно информации, опубликованной на ресурсе GitHub, уязвимость могла затронуть почти 4,3 млн доменов. Среди наиболее значимых из них можно выделить блог-платформу Medium, имиджборд 4chan, торрент-трекер The Pirate Bay, сервис такси Uber, сайт знакомств OKCupid, а также российский сайт о смартфонах 4pda.ru. Пользователям этих и других потенциально затронутых ресурсов настоятельно рекомендуется сменить пароли от учетных записей.
Источники[править]
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.