Рубрики Новости

Сервис CloudFlare сообщил о крупной утечке данных

Опубликовал Кирилл Иртлач

Представители популярного сервиса CloudFlare, оптимизирующего работу сайтов, на днях сообщили о массовой утечке данных, которую уже окрестили крупнейшей дырой в безопасности за все время существования интернета.

Для тех, кто не в курсе: CloudFlare, по сути, представляет собой «прослойку» между хостингом сайта и его посетителями, которая «прячет» ресурс от внешнего мира и блокирует вредоносную активность. Благодаря этому работа сайта становится стабильной и заметно ускоряется.

Система весьма выгодна для небольших сайтов, но также ею пользуются некоторые IT-гиганты, например, Uber, сервис хранения паролей 1Password и торрент-трекер The Pirate Bay. В целом, услугами сервиса сегодня пользуются более пяти миллионов (!) различных сайтов, что делает Cloudflare крупнейшим подобным сервисом.

Что случилось?

Утечку обнаружил сотрудник Google Тэвис Орманди. Инженер работал над собственным сторонним проектом и случайно заметил, что при обращении к CloudFlare сервис возвращает не только запрошенные данные, но и данные других ресурсов, в том числе токены аутентификации, API-ключи, куки-файлы, пароли, личные сообщения с крупных сайтов знакомств, кадры из веб-чатов, данные кредитных карт и так далее.

Сначала ему показалось, что ошибка находилась в его собственном коде, но потом он выяснил, что уязвимость была на стороне Cloudflare, и связался с разработчиками сервиса.

За неделю в компании провели расследование — и подтвердили опасения. Сообщается, что причина утечки кроется в желании CloudFlare подключить сервис AMP — Accelerated Mobile Pages, разработку Google, позволяющую существенно улучшить скорость загрузки страниц в сети. К сожалению, во время подключения произошел сбой (три функции CloudFlare не были оптимизированы под новую технологию), который сотрудники компании невозбранно «проспали».

Как результат, вследствие уязвимости все клиентские данные, прошедшие обработку CloudFlare в период с 22 сентября 2016 года по 18 февраля 2017 года, могли попасть в руки злоумышленников, несмотря на шифрование SSL и другие защитные меры.

Более того, среди «утекшей» информации оказался и ключ шифрования, который в CloudFlare использовали для защиты собственных сетей.

«Это была ошибка в штуке, которая понимает HTML. Мы распознаем изменения веб-страниц на лету и пропускаем через наши системы. Чтобы это работало, страницы должны быть у нас в памяти. Оказалось, что можно дойти до конца страницы и попасть в ту часть памяти, куда смотреть не стоило», — объяснил оплошность один из создателей CloudFlare Джон Грэм-Камминг.

Какова ситуация со сливом данных на сегодняшний день?

Достоверно не известно, какие именно данные попали в открытый доступ и воспользовался ли ими кто-нибудь. В CloudFlare божатся, что уязвимость злоумышленники банально не успели пустить в ход, потому что не знали о ней. В противном случае, компания обязательно обнаружила бы подозрительную активность.

Сама же уязвимость на данный момент закрыта. Однако часть информации успела просочиться в кэш поисковых систем, поэтому представители CloudFlare обратились к Google, Bing, Yahoo и другим компаниям, чтобы вручную устранить последствия вероятной утечки. Как отмечают журналисты, со своей стороны поисковые системы вычистили все слитые конфиденциальные сведения в оперативном порядке.

Впрочем, Орманди предупреждает, что, несмотря на заверения CloudFlare, утекшая информация могла осесть не только в кэше поисковых систем, но и в других местах.

Нужно ли что-то делать?

Тем временем пользователи github уже собрали список сайтов, которые работали с Cloudflare и были подвержены утечке данных. К сожалению, среди них есть и украинские — при беглом поиске журналисты обнаружили почти 7300 ресурсов только с доменным именем .ua, не считая всех остальных вариантов.

Если вы являетесь владельцем такого сайта, то стоит запустить процедуру смены паролей всем пользователям, а если вы также принимаете кредитные карты, то следует сообщить клиентам о необходимости их блокировки.

Напоследок отметим, что сервис хранения паролей 1Password уже заявил, что данные его пользователей не должны были пострадать  — компания использует дополнительные сложные системы защиты.

Источники: Engadget, Forbes, AIN, Meduza, VC

  • Сервис CloudFlare начал работу в 2009 году как стартап, специализирующийся на защите от сетевых угроз.
  • Со временем разработчикам удалось привлечь более $182 млн венчурных инвестиций от Google Capital, Qualcomm, Microsoft и даже китайского Baidu  Таким образом, CloudFlare стал одним из самых успешных стартапов по информационной безопасности.

Контент сайту призначений для осіб віком від 21 року. Переглядаючи матеріали, ви підтверджуєте свою відповідність віковим обмеженням.

Cуб'єкт у сфері онлайн-медіа; ідентифікатор медіа - R40-06029.