Данные сайтов на Cloudfare утекли в открытый доступ. Что с этим делать?25.02.2017 13:52

Затронуты крупнейшие сайты — от Uber до, возможно, даже iPhones.ru.

Как нашли утечку

Специалист по инфобезопасности Тевис Орманди из Google Project Zero ради интереса делал программные запросы к API сайта, который защищен CloudFare. Внезапно он обнаружил, что в ответе сервера есть не только запрашиваемая им информация, но и персональные данные пользователей других сайтов, которые используют CloudFare.

Сначала он подумал, что что допустил какую-то ошибку в своем коде, но в ходе экспериментов обнаружил, что имеет место быть глобальная проблема утечки информации.

Вот пример приватных данных случайного пользователя Uber, которые Тевис обнаружил, делая запросы к совсем другому сервису:

uber_user_data

В итоге Тевис и другие специалисты, которые подключились к изучению проблемы смогли собрать множество сведений о случайных людях: cообщения с сайтов знакомств, данные о бронировании отелей, IP-адреса, куки, пароли и разнообразную личную информацию из профилей пользователей.

Это случилось еще 17 февраля, но только в последние сутки эта новость появилась на крупных новостных ресурсах мира. На данный момент, CloudFare уже устранили проблему.

Но эту уязвимость могли ранее обнаружить другие люди и собирать чужие персональные данные, не сообщая CloudFare. Ведь описанная выше проблема существовала почти полгода, с 2016–09–22 по 2017–02–18.

Что надо сделать именно вам

Специалисты по ИБ рекомендуют сменить пароль на всех сайтах, которые защищает Cloudfare и которыми вы активно пользуетесь. В первую очередь, на нашем сайте.

Сменить пароль на iPhones.ru

Неважно, сложный у вас пароль или нет. Найденная уязвимость позволяет посмотреть пароли случайных пользователей в незашифрованном виде. Неизвестно, удалось это кому-то или нет.

Представители Cloudfare утверждают, что, скорее всего, баг никому не известен, так как они не замечали никакой подозрительной активности ботов для сборов данных.

Жертвами недосмотра могли стать пользователи множества популярных сервисов. Среди них:

  • Upwork
  • Medium
  • Uber
  • Avito
  • 1Password
  • The Pirate Bay
  • Udacity
  • Digital Ocean

По данным WapAnalyzer Cloud Fare защищает более 600 тысяч сайтов по всеми миру. В списке на GitHub есть 4,287,625 домена.

Чтобы узнать, защищает ли CloudFare определенный сайт, надо посмотреть адреса его DNS-серверов.

view_dns_info

Узнать больше: подробный технический разбора проблемы на сайте CloudFare. А вот первые посты Тевиса Орманди на эту тему.

P.S. Коротко — меняйте пароли на всех крупных сервисах и сайтах, в том числе российских. Интересно, у кого ещё хватит смелости предупредить о проблеме свою аудиторию, а кто замолчит и сделает вид, что всё хорошо.

©  iphones.ru