Новости
Сервис CloudFlare сообщил о крупной утечке данных

Сервис CloudFlare сообщил о крупной утечке данных

Сервис CloudFlare сообщил о крупной утечке данных


Представители популярного сервиса CloudFlare, оптимизирующего работу сайтов, на днях сообщили о массовой утечке данных, которую уже окрестили крупнейшей дырой в безопасности за все время существования интернета.

Для тех, кто не в курсе: CloudFlare, по сути, представляет собой «прослойку» между хостингом сайта и его посетителями, которая «прячет» ресурс от внешнего мира и блокирует вредоносную активность. Благодаря этому работа сайта становится стабильной и заметно ускоряется.

Система весьма выгодна для небольших сайтов, но также ею пользуются некоторые IT-гиганты, например, Uber, сервис хранения паролей 1Password и торрент-трекер The Pirate Bay. В целом, услугами сервиса сегодня пользуются более пяти миллионов (!) различных сайтов, что делает Cloudflare крупнейшим подобным сервисом.

Что случилось?

Утечку обнаружил сотрудник Google Тэвис Орманди. Инженер работал над собственным сторонним проектом и случайно заметил, что при обращении к CloudFlare сервис возвращает не только запрошенные данные, но и данные других ресурсов, в том числе токены аутентификации, API-ключи, куки-файлы, пароли, личные сообщения с крупных сайтов знакомств, кадры из веб-чатов, данные кредитных карт и так далее.

Сначала ему показалось, что ошибка находилась в его собственном коде, но потом он выяснил, что уязвимость была на стороне Cloudflare, и связался с разработчиками сервиса.

За неделю в компании провели расследование — и подтвердили опасения. Сообщается, что причина утечки кроется в желании CloudFlare подключить сервис AMP — Accelerated Mobile Pages, разработку Google, позволяющую существенно улучшить скорость загрузки страниц в сети. К сожалению, во время подключения произошел сбой (три функции CloudFlare не были оптимизированы под новую технологию), который сотрудники компании невозбранно «проспали».

Как результат, вследствие уязвимости все клиентские данные, прошедшие обработку CloudFlare в период с 22 сентября 2016 года по 18 февраля 2017 года, могли попасть в руки злоумышленников, несмотря на шифрование SSL и другие защитные меры.

Более того, среди «утекшей» информации оказался и ключ шифрования, который в CloudFlare использовали для защиты собственных сетей.

«Это была ошибка в штуке, которая понимает HTML. Мы распознаем изменения веб-страниц на лету и пропускаем через наши системы. Чтобы это работало, страницы должны быть у нас в памяти. Оказалось, что можно дойти до конца страницы и попасть в ту часть памяти, куда смотреть не стоило», — объяснил оплошность один из создателей CloudFlare Джон Грэм-Камминг.

Какова ситуация со сливом данных на сегодняшний день?

Достоверно не известно, какие именно данные попали в открытый доступ и воспользовался ли ими кто-нибудь. В CloudFlare божатся, что уязвимость злоумышленники банально не успели пустить в ход, потому что не знали о ней. В противном случае, компания обязательно обнаружила бы подозрительную активность.

Сама же уязвимость на данный момент закрыта. Однако часть информации успела просочиться в кэш поисковых систем, поэтому представители CloudFlare обратились к Google, Bing, Yahoo и другим компаниям, чтобы вручную устранить последствия вероятной утечки. Как отмечают журналисты, со своей стороны поисковые системы вычистили все слитые конфиденциальные сведения в оперативном порядке.

Впрочем, Орманди предупреждает, что, несмотря на заверения CloudFlare, утекшая информация могла осесть не только в кэше поисковых систем, но и в других местах.

Нужно ли что-то делать?

Тем временем пользователи github уже собрали список сайтов, которые работали с Cloudflare и были подвержены утечке данных. К сожалению, среди них есть и украинские — при беглом поиске журналисты обнаружили почти 7300 ресурсов только с доменным именем .ua, не считая всех остальных вариантов.

Если вы являетесь владельцем такого сайта, то стоит запустить процедуру смены паролей всем пользователям, а если вы также принимаете кредитные карты, то следует сообщить клиентам о необходимости их блокировки.

Напоследок отметим, что сервис хранения паролей 1Password уже заявил, что данные его пользователей не должны были пострадать  — компания использует дополнительные сложные системы защиты.

Источники: Engadget, Forbes, AIN, Meduza, VC

  • Сервис CloudFlare начал работу в 2009 году как стартап, специализирующийся на защите от сетевых угроз.
  • Со временем разработчикам удалось привлечь более $182 млн венчурных инвестиций от Google Capital, Qualcomm, Microsoft и даже китайского Baidu  Таким образом, CloudFlare стал одним из самых успешных стартапов по информационной безопасности.

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: