Co to jest Cloudflare i czy naprawdę wyciekło moje dane przez Internet?
W ciągu ostatnich kilku miesięcy błąd w popularnej usłudze Cloudflare mógł ujawnić światu poufne dane użytkownika - w tym nazwy użytkowników, hasła i wiadomości prywatne - w postaci zwykłego tekstu. Ale jak duży jest ten problem i co powinieneś zrobić?
Czym jest Cloudflare?
Cloudflare to usługa, która oferuje funkcje bezpieczeństwa i wydajności (między innymi) do szerokiej sieci stron internetowych. Działa jako odwrotny proxy, pośrednik między tobą a użytkownikiem i daną witryną. Gdy odwiedzasz tę stronę, zostaniesz przekierowany do jednego z serwerów Cloudflare zamiast do rzeczywistych serwerów witryny.
Dzięki temu Cloudflare zapewnia, że jesteś prawowitym użytkownikiem (chroniąc w ten sposób przed atakami typu "odmowa usługi"), szybciej ładuj stronę (ponieważ buforują określone części witryny) i zabezpiecz przed przestojami (ponieważ mają wiele serwerów na całym świecie i może spaść na dowolny serwer, jeśli ktoś ma problem).
Cloudflare zapewnia, że osoby atakujące DDoS nie dostaną ruchu do rzeczywistej witryny.W skrócie: Cloudflare ma na celu uczynienie stron szybszymi i bezpieczniejszymi, a jest to usługa używana przez wiele stron internetowych.
Co się stało? (A co to jest "Cloudbleed?")
Niestety, nic nie jest w 100% bezpieczne, nawet jeśli witryna korzysta z usługi takiej jak Cloudflare i występują błędy. W tym przypadku faktycznie Cloudflare powodowany problem związany z bezpieczeństwem: błąd w odwrotnym kodzie proxy, który analizuje kod HTML, spowodował, że serwery Cloudflare w pewnych okolicznościach wyciekły z zawartości pamięci. (Niektórzy ludzie nazywają to "Cloudbleed", gra z błędem Heartbleed, który również wpłynął na dużą część internetu.)
Te dane mogły zawierać wszystkie poufne dane, w tym nazwy użytkowników, hasła, prywatne wiadomości, tokeny OAuth i wiele innych. Co gorsza, niektóre z tych danych zostały zindeksowane i zapisane w pamięci podręcznej przez niektóre wyszukiwarki (około 700 stron, zgodnie z Cloudflare), więc jeśli wiesz, czego szukać w Google, możesz znaleźć poufne dane od użytkowników logujących się w czasie określonego nieszczelność.
Jeśli wiesz, czego szukać, możesz znaleźć niektóre z wyciekanych informacji Cloudflare w wyszukiwarkach.Błąd ten został nieodkryty przez około pięć miesięcy i został załatany po odkryciu w tym tygodniu. Cloudflare mówi, że "największy okres wpływu miał miejsce od 13 lutego do 18 lutego, a około 1 na każde 3 300 000 żądań HTTP za pośrednictwem Cloudflare potencjalnie skutkowało wyciekiem pamięci (to około 0,00003% żądań)."
Ale z usługą tak popularną jak Cloudflare, 0,00003% to wciąż dużo. Niektórzy ludzie tworzą listę stron korzystających z Cloudflare i obejmują ponad 4 miliony domen - w tym Yelp, OkCupid, Uber, Authy, Medium i wiele innych. (Dotyczy to również niektórych aplikacji mobilnych).
Więcej informacji na temat szczegółów technicznych tego błędu można znaleźć na blogu Cloudflare, ale prawdopodobnie zainteresuje Cię tylko programista - jeśli jesteś zwykłym użytkownikiem internetu, jedyne, co musisz wiedzieć, to ...
Co powinienem zrobić?
Po pierwsze: nie panikuj za bardzo. Nie każda witryna z tej listy zawierała 4 miliony danych poufnych - jeśli witryna używała Cloudflare do przechowywania danych obrazu w pamięci podręcznej, na przykład, nie byłoby żadnych newralgicznych informacji do wycieku. I nie jest tak, że każdy przeciek był i tak główną listą haseł - to były przypadkowe informacje, które mógłby włączyli kilka losowych nazw użytkowników i haseł w danym momencie.
Jednak Cloudflare zauważył również, że jeden z ich prywatnych kluczy został ujawniony, co umożliwiło atakującemu dostęp do wielu wewnętrznych danych Cloudflare - w tym, potencjalnie, nazw użytkowników i haseł. Cloudflare był bardzo niejasny w tej kwestii, mimo że jest to poważne zagrożenie bezpieczeństwa, które może powodować wyciek znacznie bardziej poufnych informacji
Wszystko to powiedziawszy, nie ma prawdziwego sposobu na stwierdzenie, czy któreś z twoich danych wyciekło i gdzie, więc jedynym bezpiecznym sposobem działania jest teraz zmień wszystkie swoje hasła. (Oczywiście, możesz przejrzeć listę 4 milionów witryn i zmienić tylko te używane przez Cloudflare, ale szczerze, prawdopodobnie łatwiej i szybciej będzie po prostu zmienić je wszystkie.)
Obowiązują tu zwykłe reguły z hasłami: nie używaj tego samego hasła w wielu witrynach, używaj menedżera haseł, takiego jak LastPass, i włącz dwuskładnikowe uwierzytelnianie dla każdej witryny, która na to pozwala. Jeśli nie robisz tych rzeczy, błąd Cloudflare jest prawdopodobnie najmniejszym z twoich zmartwień - w końcu witryny są atakowane przez cały czas, a jeśli używasz tego samego hasła wszędzie, wszystkie twoje dane są regularnie zagrożone.
Jeśli już używasz menedżera haseł, proces ten powinien być łatwy (jeśli trochę długi i nudny). Ale powinieneś już być przyzwyczajony do tego tańca.