Luka w systemie Cloudflare, który obsługuje Google i wiele popularnych stron sprawiła, że przez wiele tygodni mogły wypływać tak wrażliwe informacje, jak prywatne wiadomości oraz zdjęcia. Cloudflare zajmuje się między innymi modyfikacjami kodu w przesyłanej stronie www i to właśnie ta funkcja stała się przyczyną kłopotów.
Na lukę w systemie przez przypadek natknął się badacz bezpieczeństwa pracujący w Google, Tavis Ormandy, który przyczynił się do nagłośnienia problemu.
Wczoraj Cloudflare na swoim blogu potwierdził te informacje. Sprawę opisał polski serwis Niebezpiecznik.pl.
Pełny spis serwisów, których użytkownicy mogli zostać dotknięci przez wyciek, znajduje się pod tym adresem i zabiera ponad 4 mln domen.
Jeśli macie konta na tych serwisach i korzystaliście z nich w ostatnich dniach, dobrze będzie zmienić hasła.
Historia odkrycia tego błędu, który w usłudze Cloudflare istniał od 22 września 2016, zaczyna się 17 lutego 2017, czyli jak każdy kryzys, wybucha w piątek. Wtedy to Tavis poprosił na Twitterze o kontakt do kogoś z działu bezpieczeństwa Cloudflare. W przypadku Tavisa, taka prośba zawsze oznacza odkrycie przez niego poważnego błędu.
Z Cloudflare korzysta ponad 5,5 milionów serwisów internetowych, z których wyciekły wrażliwe dane użytkowników: hasła, ciasteczka, adresy IP, tokeny, dane osobowe, prywatne wiadomości oraz zdjęcia.
Warto wspomnieć, że wśród dotkniętych stron są takie adresy kończące się na .pl:
antyweb.pl
cda.pl
chomikuj.pl
demotywatory.pl
fotka.pl
kwejk.pl
peb.pl
sadistic.pl
trojmiasto.pl
Aktualizacja:
Otrzymaliśmy informację z serwisu GoldenLine.pl, który był na liście wśród dotkniętych stron
–
GoldenLine.pl korzysta z usług Cloudflare, natomiast nie w obszarze, którego dotyczył błąd. W wyniku przeprowadzonej dodatkowej kontroli możemy potwierdzić, że nie używamy tych usług Cloudflare, które były narażone na błąd pod nazwą „Cloudbleed”. Oznacza to, że wrażliwe dane naszych użytkowników nie mogły ulec udostępnieniu osobom trzecim – poinformował Telix.pl serwis GoldenLine.pl.
Więcej informacji: Niebezpiecznik.pl
Kan
@Kan. Zdecydowanie za bardzo wyolbrzymiłeś problem.
Wyciek danych z nagłówków HTTP losowych serwisów następował obficie jedynie przez tydzień i odbywał się z mniej niż jednego tysiąca domen (oficialnie potwierdzono 770) na 5,5 mln obsługiwanych przez CloudFlare. Wykryty został przez badacza Google, który analizował akurat rodzaje używanych znaczników w stronach HTTP na podstawie wyników zbieranych przez roboty tej firmy.
Aby z takich danych odczytać hasło to musiało by być one przesyłane otwartym kodem, a to jest uznawane za złą praktykę. Za to wykradzenie loginu, którym jest często adres e-mail lub danych sesji mogło mieć miejsce, ale raczej nie stwierdzono zwiększonego ruchu do domen, które powodowały występowanie tego błędu, czyli mało prawdopodobne, że ktoś zbierał te dane na dużą skalę.
Moim zdaniem warto dmuchać na zimne – jak mówi przysłowie. Pozdrawiam i dzięki za zainteresowanie Andrzej
„Hakerzy z serwisów internetowych wykradli hasła milionów polskich internautów” – tytuł clickbaitowy, nierzetelny. Żadni hakerzy nic nie wykradli. Był bug, badacz to znalazł ale nikt niczego nie wykradał – pewne dane można było zobaczyć specjalnie konstruując zapytanie dla wyszukiwarki – to nie jest kradzież danych, tylko wyciek. Z takimi tytułami newsów, to pan Andrzej znalazłby posadę w Fakcie czy Superexpresie.