מה זה Cloudflare, האם זה באמת דליפה הנתונים שלי בכל רחבי האינטרנט?

במהלך החודשים האחרונים, באג בשירות הפופולרי של Cloudflare חשף מידע משתמש רגיש - כולל שמות משתמש, סיסמאות והודעות פרטיות - לעולם בטקסט רגיל. אבל כמה גדולה הבעיה הזאת, ומה אתה צריך לעשות?

מה זה Cloudflare?

Cloudflare הוא שירות המציע תכונות אבטחה וביצועים (בין היתר) לרשת רחבה של אתרי אינטרנט. זה פועל בתור proxy הפוך, מתווך ביניכם - המשתמש, ואת אתר נתון. כאשר אתה מבקר באתר זה, תועבר לאחד השרתים של Cloudflare במקום לשרתים של האתר עצמו.

דבר זה מאפשר ל- Cloudflare להבטיח שאתה משתמש חוקי (ובכך מגנה מפני התקפות מסוג מניעת שירות), טוען את האתר מהר יותר (מאחר שהם מטמון חלקים מסוימים של האתר), ומגן מפני זמן השבתה (שכן יש להם שרתים מרובים ברחבי העולם ו- יכול ליפול על כל שרת אם יש בעיה).

Cloudflare מבטיח שתוקפי DDoS לא יקבלו את התנועה שלהם לאתר בפועל.

בקיצור: Cloudflare שואפת להפוך את האתרים למהירים יותר ובטוחים יותר, וזה שירות הרבה אתרים להשתמש.

מה קרה? (ומה זה "ענן?")

למרבה הצער, שום דבר אינו 100% מאובטח, גם אם האתר משתמש בשירות כמו Cloudflare, ובאגים לקרות. במקרה זה, Cloudflare למעשה גרם ל בעיה באבטחה: באג בקוד ה- proxy ההפוך ש- parses HTML גרם לשרתים של Cloudflare לדלוף את תוכן הזיכרון שלה בנסיבות מסוימות. (יש אנשים שמתייחסים לזה כמו "Cloudbleed", לשחק את באג heartbleed כי השפיעו גם על חלק גדול של האינטרנט.)

נתונים אלה יכלו לכלול כל מיני נתונים רגישים, כולל שמות משתמש, סיסמאות, הודעות פרטיות, אסימוני OAuth ועוד. גרוע מכך, חלק מהנתונים הללו צוינו באינדקס ובמטמון של כמה מנועי חיפוש (כ -700 עמודים, על פי Cloudflare), כך שאם ידעת מה לחפש ב- Google, תוכל למצוא נתונים רגישים ממשתמשים המתחברים בזמן מסוים דליפה.

אם אתה יודע מה לחפש, אתה יכול למצוא כמה מידע Cloudflare דלף על מנועי החיפוש.

הבאג הזה לא התגלה כחמישה חודשים, והוא תוקן לאחר שהתגלה השבוע. Cloudflare אומר "התקופה הגדולה ביותר של ההשפעה היתה מ -13 בפברואר ו -18 בפברואר עם כ -1 בכל 3,300,000 בקשות HTTP דרך Cloudflare פוטנציאלית וכתוצאה מכך דליפת זיכרון (כלומר על 0.00003% מהבקשות)."

אבל עם שירות פופולרי כמו Cloudflare, 0.00003% הוא עדיין הרבה. כמה אנשים כבר קומפילציה רשימה של אתרים המשתמשים Cloudflare, והוא כולל מעל 4 מיליון תחומים, כולל Yelp, OkCupid, Uber, Authy, בינונית, ועוד רבים אחרים. (אפליקציות לנייד מסוימות מושפעות גם כן).

אתה יכול לקרוא עוד על הפרטים הטכניים של באג זה בבלוג של Cloudflare, אם כי זה בטח רק עניין אותך אם אתה מתכנת, אם אתה משתמש אינטרנט רגיל, הדבר היחיד שאתה צריך לדעת הוא ...

מה עלי לעשות?

ראשית: לא להיכנס לפאניקה יותר מדי. לא כל אתר ברשימה זו של 4 מיליון הדליף בהכרח מידע רגיש - אם האתר היה רק ​​באמצעות Cloudflare כדי לשמור את נתוני התמונה, למשל, לא יהיה מידע רגיש לדלוף. וזה לא כמו כל דליפה היה רשימה בסיסית של סיסמאות בכל מקרה - זה היה מידע אקראי של מידע, אשר יכול כללו מספר שמות משתמש וסיסמאות אקראיים בכל זמן נתון.

עם זאת, Cloudflare גם ציין כי אחד המפתחות הפרטיים שלהם היה דלף, אשר היה סיפק לתוקף גישה הרבה נתונים Cloudflare פנימי, כולל, פוטנציאלי, שמות משתמש וסיסמאות. Cloudflare היה מעורפל מאוד לגבי נקודה מסוימת זו, למרות שזה סיכון ביטחוני משמעותי עם פוטנציאל לדלוף מידע הרבה יותר רגיש

כל מה שאמר, אין שום דרך אמיתית לדעת אם הנתונים שלך היה דלף ואיפה, אז הדרך הבטוחה היחידה של הפעולה כרגע היא לשנות את כל הסיסמאות שלך. (בטח, אתה יכול להסתכל ברשימה של 4 מיליון אתרים ורק לשנות את אלה המשמשים את Cloudflare, אבל בכנות, זה יהיה כנראה להיות קל ומהיר פשוט לשנות את כולם.)

הכללים הרגילים עם סיסמאות חלים כאן: אין להשתמש באותה סיסמה באתרים מרובים, להשתמש במנהל סיסמה כמו LastPass, ולהפעיל אימות שני גורמים עבור כל אתר המאפשר את זה. אם אתה לא עושה את הדברים האלה, באג Cloudflare הוא כנראה המעטה של ​​הדאגות שלך - אחרי הכל, אתרים לפרוץ כל הזמן, ואם אתה משתמש באותה סיסמה בכל מקום, כל הנתונים שלך נמצא בסיכון קבוע.

אם אתה כבר משתמש במנהל סיסמאות, תהליך זה צריך להיות קל (אם קצת ארוך ומשעמם). אבל אתה צריך לשמש ריקוד זה עד עכשיו.