Инфраструктурная компания Cloudflare, известна благодаря широкому спектру услуг по безопасности для миллионов сайтов, заявила в четверг вечером, что из-за случайной ошибки произошла утечка потенциально конфиденциальных данных клиентов в интернет.
Как и когда это произошло
Дефект был впервые раскрыт исследователем уязвимостей 17 февраля 2017 года, но могла быть утечка данных еще и 22 сентября 2016 года — среди тех, чьи данные могли в результате небрежности попасть в общий доступ, называют такие достаточно известные компании и бренды, как Fitbit, Uber и OKCupid. Речь идет о частичной утечка данных в пользу других ресурсов. Вследствие этого, например, фрагмент информации про вашу поездку Uber или ваш пароль от этого сервиса может попасть в код другого сайта, не связанного с Uber. В основном чистые данные не были размещены на известных сайтах; но произошла утечка чувствительных данных пользователя, такой как учетные данные для входа, ключи API и другие важные маркеры аутентификации, в том числе некоторые из собственных внутренних ключей шифрования в CloudFlare.
«Поскольку Cloudflare работает как большая, общая инфраструктура, HTTP-запрос на сайт CloudFlare, который был уязвимым к упомянутой выше проблеме, может раскрыть информацию «неродного» другого ресурса, что подключался к Cloudflare», — пытается объяснить ситуацию технический директор Джон Грэхем-Камминг в своем блоге.
Утечка не поразила ключи безопасности транспортного уровня, используемые при шифровании HTTPS, но это может потенциально скомпрометировать данные во время таких соединений. И хотя Грэм-Камминг добавил, что нет никаких признаков того, в журналах Cloudflare или в другом месте произошла утечка, которой воспользовались злоумышленники, уровень риска в этой утечке информации все же есть.
Хорошая новость заключается в том, что в Cloudflare действовали быстро, чтобы решить эту ошибку. В общем проблемы обнаружили меньше чем за час, а исправили недостаток во всех своих системах по всему миру в пределах 7 часов. Но эта компания работает с Google и другими поисковыми системами, поэтому очистка кэша и обеспечения безопасности данных могли занять некоторое время.
Что происходит сейчас
Генеральный директор Cloudflare Мэтью Принс говорит, что только те клиенты, которые имеют определенный HTML на своих сайтах и использовали определенный набор настроек Cloudflare — а это около 3 тыс клиентов в целом, — ощутили на себе последствия этого сбоя. Принс говорит, что сейчас Cloudflare известно про 150 своих клиентов, чьи данные были затронуты. Ошибку признают и говорят, что она была болезненной, но в то же время настаивают, что риски для большинства интернет-пользователей являются минимальными.
Как минимизировать риски для себя
Для снижения риска исследователь безопасности и бывший сотрудник Cloudflare Райан Лэки предлагает изменить каждый пароль для каждого аккаунта, ибо утечка «Cloudbleed» могла быть гораздо более длительной, чем говорят представители компании. «Через серверы прошли немало данных за прошлые 6 месяцев от момента первой проблемы в Cloudflare,» — замечает он и добавляет, что простое обновление паролей и разрешение на использование интернет-сайтами и провайдерами онлайн-услуг двухфакторной аутентификации всегда является наилучшим средством для онлайн-безопасности. Если вы еще не сменили пароли от своей электронной почты, соцсетей и популярных онлайн-сервисов, настало время это сделать сейчас.