Представители популярного сервиса CloudFlare, оптимизирующего работу сайтов, на днях сообщили о массовой утечке данных, которую уже окрестили крупнейшей дырой в безопасности за все время существования интернета.
Для тех, кто не в курсе: CloudFlare, по сути, представляет собой «прослойку» между хостингом сайта и его посетителями, которая «прячет» ресурс от внешнего мира и блокирует вредоносную активность. Благодаря этому работа сайта становится стабильной и заметно ускоряется.
Система весьма выгодна для небольших сайтов, но также ею пользуются некоторые IT-гиганты, например, Uber, сервис хранения паролей 1Password и торрент-трекер The Pirate Bay. В целом, услугами сервиса сегодня пользуются более пяти миллионов (!) различных сайтов, что делает Cloudflare крупнейшим подобным сервисом.
Что случилось?
Утечку обнаружил сотрудник Google Тэвис Орманди. Инженер работал над собственным сторонним проектом и случайно заметил, что при обращении к CloudFlare сервис возвращает не только запрошенные данные, но и данные других ресурсов, в том числе токены аутентификации, API-ключи, куки-файлы, пароли, личные сообщения с крупных сайтов знакомств, кадры из веб-чатов, данные кредитных карт и так далее.
Сначала ему показалось, что ошибка находилась в его собственном коде, но потом он выяснил, что уязвимость была на стороне Cloudflare, и связался с разработчиками сервиса.
Cloudflare have been leaking customer HTTPS sessions for months. Uber, 1Password, FitBit, OKCupid, etc. https://t.co/wjwE4M3Pbk
— Tavis Ormandy (@taviso) February 23, 2017
За неделю в компании провели расследование — и подтвердили опасения. Сообщается, что причина утечки кроется в желании CloudFlare подключить сервис AMP — Accelerated Mobile Pages, разработку Google, позволяющую существенно улучшить скорость загрузки страниц в сети. К сожалению, во время подключения произошел сбой (три функции CloudFlare не были оптимизированы под новую технологию), который сотрудники компании невозбранно «проспали».
Как результат, вследствие уязвимости все клиентские данные, прошедшие обработку CloudFlare в период с 22 сентября 2016 года по 18 февраля 2017 года, могли попасть в руки злоумышленников, несмотря на шифрование SSL и другие защитные меры.
Более того, среди «утекшей» информации оказался и ключ шифрования, который в CloudFlare использовали для защиты собственных сетей.
«Это была ошибка в штуке, которая понимает HTML. Мы распознаем изменения веб-страниц на лету и пропускаем через наши системы. Чтобы это работало, страницы должны быть у нас в памяти. Оказалось, что можно дойти до конца страницы и попасть в ту часть памяти, куда смотреть не стоило», — объяснил оплошность один из создателей CloudFlare Джон Грэм-Камминг.
Какова ситуация со сливом данных на сегодняшний день?
Достоверно не известно, какие именно данные попали в открытый доступ и воспользовался ли ими кто-нибудь. В CloudFlare божатся, что уязвимость злоумышленники банально не успели пустить в ход, потому что не знали о ней. В противном случае, компания обязательно обнаружила бы подозрительную активность.
Сама же уязвимость на данный момент закрыта. Однако часть информации успела просочиться в кэш поисковых систем, поэтому представители CloudFlare обратились к Google, Bing, Yahoo и другим компаниям, чтобы вручную устранить последствия вероятной утечки. Как отмечают журналисты, со своей стороны поисковые системы вычистили все слитые конфиденциальные сведения в оперативном порядке.
Впрочем, Орманди предупреждает, что, несмотря на заверения CloudFlare, утекшая информация могла осесть не только в кэше поисковых систем, но и в других местах.
Нужно ли что-то делать?
Тем временем пользователи github уже собрали список сайтов, которые работали с Cloudflare и были подвержены утечке данных. К сожалению, среди них есть и украинские — при беглом поиске журналисты обнаружили почти 7300 ресурсов только с доменным именем .ua, не считая всех остальных вариантов.
Если вы являетесь владельцем такого сайта, то стоит запустить процедуру смены паролей всем пользователям, а если вы также принимаете кредитные карты, то следует сообщить клиентам о необходимости их блокировки.
Напоследок отметим, что сервис хранения паролей 1Password уже заявил, что данные его пользователей не должны были пострадать — компания использует дополнительные сложные системы защиты.
- Сервис CloudFlare начал работу в 2009 году как стартап, специализирующийся на защите от сетевых угроз.
- Со временем разработчикам удалось привлечь более $182 млн венчурных инвестиций от Google Capital, Qualcomm, Microsoft и даже китайского Baidu Таким образом, CloudFlare стал одним из самых успешных стартапов по информационной безопасности.