Internet

Zmieńcie hasła - olbrzymi wyciek prywatnych danych z 5 mln stron korzystających z Cloudflare

z dnia 2017-02-24
Wojciech Kulik | Redaktor serwisu benchmark.pl
10 komentarzy Dyskutuj z nami

Klucze szyfrujące, hasła i adresy IP, a nawet prywatne konwersacje i zdjęcia. A wszystko przez jeden drobny błąd w strukturze Cloudflare.

Z usług Cloudflare korzysta przeszło 5 milionów serwisów internetowych, włączając w to takich gigantów jak Uber i 4Chan, portal randkowy OKCupid, a także sporą część portali związanych z kryptowalutami oraz liczne polskie serwisy. Użytkownicy wszystkich tych stron są zagrożeni – ich dane mogły przez przypadek trafić do sieci.

Wyciekło mnóstwo informacji - Cloudbleed, czyli wpadka Cloudflare

W skrócie: we wrześniu 2016 roku Cloudlare wprowadził zmiany w części usług serwerowych. Nie wszystko poszło zgodnie z planem i błędy ujawnienia pamięci zamiast być likwidowane – pozostawały, a to prowadziło do wycieków (w gruncie rzeczy błąd polegał na użyciu „==” zamiast „>=”). Najgorsze zaś, że informacje te były indeksowane w wyszukiwarkach Google, Yahoo i Bing. Tutaj szczegóły.

Między innymi klucze szyfrujące i API, ciasteczka, hasła i adresy IP użytkowników, tokeny OAuth, a nawet prywatne konwersacje i zdjęcia. Każdy odwiedzający strony powiązane z Cloudflare miał do nich dostęp, ale raczej tego nie zauważał. Dopatrzył się ich Travis Ormandy z Google Project Zero – grupy czuwającej nad bezpieczeństwem w sieci. Poinformował on Cloudflare o sprawie i firma, wraz z Google, rozpoczęła proces oczyszczania wyszukiwarki ze zindeksowanych stron zawierających poufne informacje.

Co robić? Zmieniać hasło?

Choć wyszukiwarki są czyszczone, wcale nie oznacza to, że już jesteśmy bezpieczni. Jeśli macie konto na którejś ze stron współpracujących z Cloudflare, koniecznie zmieńcie hasło.

Pełna lista stron, których użytkownicy są zagrożeni

Otrzymaliśmy informację, że użytkownicy następujących serwisów na pewno są bezpieczni: kwejk.pl, goldenline.pl, 1password.com, fastmail.com, namecheap.com.

Automatyczne wylogowanie z konta Google

Z tym wydarzeniem powiązana może być również dziwna sytuacja, której doświadczyła spora część użytkowników usług Google wczoraj wieczorem lub dzisiaj rano. Doszło mianowicie do automatycznego wylogowania i konieczności zalogowania się ponownie.

W pierwszym odruchu można było obawiać się, że ktoś wkradł się na nasze konto i zmienił hasło. Pomyślne zalogowanie się pozwoliło jednak odetchnąć z ulgą. Firma Google również wyjaśnia, że nie należy się tym przejmować, a konta są bezpieczne.

Źródło: Ars Technica, Cloudflare. Foto: Acid the meme machine/Wikimedia

marketplace

Komentarze

10
Zaloguj się, żeby skomentować
avatar
Dodaj
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    w oświadczeniu pisze że kod nie był pisany ręcznie tylko za pomocą Ragel i prawdopodobnie jego niewłaściwe użycie spowodowało użycie "==” zamiast „>="
    Zaloguj się
    -1
  • avatar
    'allanalpass.com'

    to jakaś strona dla kochających inaczej :D?

    BTW-co, jeśli na CDA.pl logowałęm się z użyciem FB?
  • avatar
    Znowu zatrudnili bezdomego programiste ktory robi proste bledy czy kodu nikt nie sprawdza?
    Zaloguj się