Tijekom proteklih nekoliko mjeseci, bug u popularnom CloudFlare usluge možda izloženi osjetljive korisničke podatke, uključujući korisnička imena, zaporke i privatne poruke-do svijeta u običan tekst. Ali koliko je velik problem i što biste trebali učiniti?
Cloudflare je usluga koja nudi značajke sigurnosti i performansi (između ostalog) širokoj mreži web stranica. Djeluje kao preokrenuti proxy, posrednik između vas - korisnika i određene web stranice. Kada idete posjetiti tu web-lokaciju, bit ćete usmjereni na jedan od poslužitelja Cloudflare umjesto na poslužitelje stvarnog web mjesta.
To omogućava Cloudflareu da ste legitimni korisnik (time zaštitite od napada uskraćivanja usluga), učitajte web mjesto brže (jer su spremili određene dijelove web mjesta) i zaštitili od prekida rada (budući da imaju više poslužitelja širom svijeta i može se vratiti na bilo koji poslužitelj ako je problem).
Cloudflare osigurava da DDoS napadači ne dobiju svoj promet do stvarnog web mjesta. Ukratko: Cloudflare ima za cilj napraviti web stranice brže i sigurnije, a to je usluga koju mnoge web stranice koriste.
Nažalost, ništa nije 100% sigurno, čak i ako web-lokacija koristi uslugu poput Cloudflarea, a greške se događaju. U ovom slučaju, Cloudflare zapravo izazvan sigurnosni problem: bug u obrnutom proxy kôdu koji analizira HTML uzrokovalo Cloudflare poslužitelje da curiti sadržaj svoje memorije u određenim okolnostima. (Neki ljudi upućuju na to kao "Cloudbleed", igrati od Heartbleed bug koji također utječe na veliki dio interneta.)
Ti podaci mogli su uključivati sve vrste osjetljivih podataka, uključujući korisnička imena, lozinke, privatne poruke, tokove OAuth i još mnogo toga. Još gore, neki od tih podataka indeksirali su i pohranili neke pretraživače (oko 700 stranica, prema Cloudflareu), pa ako biste znali što pretraživati na Googleu, mogli biste pronaći osjetljive podatke od korisnika koji se prijavljuju u vrijeme određenog curenje.
Ako znate što pretraživati, mogli biste pronaći neke od informacija koje Cloudflare procuri na tražilicama. Ovaj bug je otišao neotkriven oko pet mjeseci, i bio je popravljen nakon što je otkriven ovaj tjedan. Cloudflare kaže da je najveće razdoblje utjecaja bilo od 13. veljače do 18. veljače s otprilike jednom u svakoj od 3.300.000 zahtjeva HTTP-a kroz Cloudflare što je rezultiralo gubitkom memorije (to je oko 0.00003% zahtjeva).
No, s uslugom popularnom kao Cloudflare, 0,00003% je još uvijek puno. Neki ljudi sastavljaju popis web-lokacija koji koriste Cloudflare, a obuhvaća više od 4 milijuna domena, uključujući Yelp, OkCupid, Uber, Authy, Medium i još mnogo više. (To su i neke mobilne aplikacije.)
Više o tehničkim pojedinostima ove bugove možete pročitati na Cloudflareovom blogu, iako će vas vjerojatno zanimati samo ako ste programer - ako ste redovni korisnik interneta, jedina stvar koju trebate znati jest ...
Prvo: nemoj previše paničariti. Nisu svaka web-lokacija na tom popisu od 4 milijuna nužno iscurila osjetljive podatke - ako web-lokacija samo koristi Cloudflare za pohranjivanje slikovnih podataka, na primjer, ne bi postojale osjetljive informacije na propuštanje. I nije kao da je svaka propuštanja ionako glavni popis zaporki - bilo je slučajnih informacija, koje su mogla uključili su nekoliko korisnih korisničkih imena i lozinki u bilo kojem trenutku.
Međutim, Cloudflare je također primijetio da je jedan od njihovih privatnih ključeva procurio, što bi napadaču omogućilo pristup brojnim internim Cloudflare podacima - uključujući, potencijalno, korisnička imena i zaporke. Cloudflare je bio iznimno nejasan u vezi s ovom konkretnom točkom, unatoč tome što je to glavni sigurnosni rizik s mogućnošću istjecanja puno osjetljivijih informacija
Sve što je reklo, nema pravih načina da saznate je li bilo koji od vaših podataka istjecanje i gdje je, tako da je jedini siguran tijek akcije upravo sada promijenite sve svoje lozinke, (Naravno, možete pogledati popis od 4 milijuna web-mjesta i mijenjati one koje koristi Cloudflare, ali iskreno, vjerojatno bi bilo lakše i brže samo ih promijeniti.)
Primjenjuju se uobičajena pravila s lozinkama: nemojte upotrebljavati istu lozinku na više web mjesta, upotrijebite upravitelja zaporki kao što je LastPass i uključite provjeru autentičnosti dvosmjernog faktora za svaku web-lokaciju koja je omogućila. Ako ne radite ove stvari, Cloudflare bug je vjerojatno najmanje vaših briga - naposljetku, web lokacije se cijelo vrijeme hakiraju, a ako upotrebljavate istu lozinku svugdje, svi vaši podaci redovito su izloženi riziku.
Ako već upotrebljavate upravitelj lozinke, taj postupak trebao bi biti jednostavan (ako je malo dug i dosadan). Ali sada se trebate naviknuti na ovaj ples.
