Данные сайтов под защитой Cloudflare утекли в открытый доступ. Что с этим делать?

|
FavoriteLoading В закладки
Данные сайтов под защитой Cloudflare утекли в открытый доступ.  Что с этим делать?

Затронуты крупнейшие сайты – от Uber до, возможно, даже iPhones.ru.

Как нашли утечку

Специалист по инфобезопасности Тевис Орманди из Google Project Zero ради интереса делал программные запросы к API сайта, который защищен CloudFlare. Внезапно он обнаружил, что в ответе сервера есть не только запрашиваемая им информация, но и персональные данные пользователей других сайтов, которые используют CloudFlare.

Сначала он подумал, что что допустил какую-то ошибку в своем коде, но в ходе экспериментов обнаружил, что имеет место быть глобальная проблема утечки информации.

Вот пример приватных данных случайного пользователя Uber, которые Тевис обнаружил, делая запросы к совсем другому сервису:

uber_user_data

В итоге Тевис и другие специалисты, которые подключились к изучению проблемы смогли собрать множество сведений о случайных людях: cообщения с сайтов знакомств, данные о бронировании отелей, IP-адреса, куки, пароли и разнообразную личную информацию из профилей пользователей.

Это случилось еще 17 февраля, но только в последние сутки эта новость появилась на крупных новостных ресурсах мира. На данный момент, CloudFlare уже устранили проблему.

Но эту уязвимость могли ранее обнаружить другие люди и собирать чужие персональные данные, не сообщая CloudFlare. Ведь описанная выше проблема существовала почти полгода, с 2016-09-22 по 2017-02-18.

Что надо сделать именно вам

Специалисты по ИБ рекомендуют сменить пароль на всех сайтах, которые защищает Cloudflare и которыми вы активно пользуетесь. В первую очередь, на нашем сайте.

Сменить пароль на iPhones.ru

Неважно, сложный у вас пароль или нет. Найденная уязвимость позволяет посмотреть пароли случайных пользователей в незашифрованном виде. Неизвестно, удалось это кому-то или нет.

Представители Cloudflare утверждают, что, скорее всего, баг никому не известен, так как они не замечали никакой подозрительной активности ботов для сборов данных.

Жертвами недосмотра могли стать пользователи множества популярных сервисов. Среди них:

  • Upwork
  • Medium
  • Uber
  • Avito
  • 1Password
  • The Pirate Bay
  • Udacity
  • Digital Ocean

По данным WapAnalyzer Cloud Flare защищает более 600 тысяч сайтов по всеми миру. В списке на GitHub есть 4,287,625 домена.

Чтобы узнать, защищает ли CloudFlare определенный сайт, надо посмотреть адреса его DNS-серверов. Или на сайте doesitusecloudflare.com.

view_dns_info

Узнать больше: подробный технический разбор проблемы на сайте CloudFlare. А вот первые посты Тевиса Орманди на эту тему.

Примечание редактора: Коротко – меняйте пароли на всех крупных сервисах и сайтах, в том числе российских. Интересно, у кого ещё хватит смелости предупредить о проблеме свою аудиторию, а кто замолчит и сделает вид, что всё хорошо.

Оставайся в теме. Подпишись на наш Telegram 👏
FavoriteLoading В закладки
undefined
iPhones.ru
Затронуты крупнейшие сайты - от Uber до, возможно, даже iPhones.ru.
Прокомментировать

🙈 Комментарии 33

  1. Owlish avatar
    Owlish25 февраля 2017
    3

    Ирина как всегда на высоте – чётко, доходчиво, профессионально.
    Может ли эта проблема коснуться сервисов, например, mail.ru?

    Ирина Чернова avatar
    Ирина Чернова25 февраля 2017
    1

    @Owlish, так в списках возможных пострадавших много сервисов (см список в статье на GitHub).
    А mail.ru CloudFare не пользуются.

    Jobs avatar
    Jobs25 февраля 2017
    0

    @Ирина Чернова, я не понял про 1password – пинкод для открытия приложения на телефоне или маке нужно сменить или какой именно пароль? Спасибо

    Ирина Чернова avatar
    Ирина Чернова25 февраля 2017
    0

    @Jobs, Главный пароль от учетной записи на сайте.

    P.S. Cами представители 1Password заявили, что их пользователей это проблема не коснется https://blog.agilebits.com/2017/02/23/three-layers-of-encryption-keeps-you-safe-when-ssltls-fails/

    iband avatar
    iband27 февраля 2017
    0

    @Ирина Чернова, часть примеров у вас в статье, использующих CloudFare, на самом деле его не используют, например: udacity, avito.

    Lordwind avatar
    Lordwind25 февраля 2017
    1

    @Owlish, ога ога, профессионализм так и прет, вместо 600 тыщ уязвимых сайтов всего 150 штук (см коммент ниже), бугога, но желтой прессе же главное домохозяек попугать

    Ирина Чернова avatar
    Ирина Чернова25 февраля 2017
    0

    @Lordwind, “600 тысяч уязвимых сайтов” откуда вы взяли эти слова? В статье написано только под число сайтов под защитой CloudFare.

    “всего 150 штук” откуда вы взяли эти цифры? дайте ссылку пожалуйста

    Lordwind avatar
    Lordwind25 февраля 2017
    1

    @Ирина Чернова, @Ирина Чернова, In our review of these third party caches, we discovered data that had been exposed from approximately 150 of Cloudflare’s customers across our Free, Pro, Business, and Enterprise plans. – https://arstechnica.com/security/2017/02/serious-cloudflare-bug-exposed-a-potpourri-of-secret-customer-data/

    Ирина Чернова avatar
    Ирина Чернова25 февраля 2017
    0

    @Lordwind, ну так 150 – это количество сайтов, данные пользователей которых попали в кэш Google и прочих сервисов, которые сохраняют html-страницы чужих сайтов. Вот ваша цитата, дополненная двумя абзацами выше.

    While we resolved the bug within hours of it being reported to us, there was an ongoing risk that some of our customers’ sensitive information could still be available through third party caches, such as the Google search cache.

    Over the last week, we’ve worked with these caches to discover what customers may have had sensitive information exposed and ensure that the caches are purged. We waited to disclose the bug publicly until after these caches could be cleared in order to mitigate the ability of malicious individuals to exploit any exposed data.

    In our review of these third party caches, we discovered data that had been exposed from approximately 150 of Cloudflare’s customers across our Free, Pro, Business, and Enterprise plans. We have reached out to these customers directly to provide them with a copy of the data that was exposed, help them understand its impact, and help them mitigate that impact.

    Lordwind avatar
    Lordwind25 февраля 2017
    1

    @Ирина Чернова, Вы так и не поняли как работает Cloudflare

    Owlish avatar
    Owlish25 февраля 2017
    0

    @Lordwind,
    Не поленился и прочитал все твои комменты – 99.9% из них негатив. Научитесь уважать коллегу по сайту, если критикуете, но аргументированно, а не просто WTF…
    I Don’t expect any reply from u… Just think before comments (or keep mum), and be more friendly.

    Lordwind avatar
    Lordwind26 февраля 2017
    0

    @Owlish, Что, правда глаза колет? 99.9% статей айфонса полная херня. Поищи по нику меня на других ресурсах и там подсчитай процент негатива, шерлок мамкин.

  2. shok61 avatar
    shok6125 февраля 2017
    5

    Вот вам и 1password с его хвалёным удобством и безопасностью.

    iGitlin25 февраля 2017
    0

    @shok61, с безопасностью там все в порядке, эта проблема могла коснуться только учетных данных на сайте, но не коем образом ни мастер пароля, так как он никому кроме вас не известен и восстановлению не подлежит

  3. YoureWrong avatar
    YoureWrong25 февраля 2017
    2

    То что редакция очень смелые это давно понятно – это сколько же смелости надо иметь, чтобы рекламой так грузить и не бояться оттока читателей :)

  4. Дмитрий Скворцов avatar
    Дмитрий Скворцов25 февраля 2017
    0

    У меня дважды уводили авито и дважды его возвращал, хотя разумеется нигде кроме своих устройств не заходил в него…возможно из-за этого…

    iband avatar
    iband27 февраля 2017
    0

    @Дмитрий Скворцов, авито не использует Cloudflare. Не верьте всему, что пишут здесь ;-)

  5. apiksDen25 февраля 2017
    3

    “Найденная уязвимость позволяет посмотреть пароли случайных пользователей в незашифрованном виде”
    Кто-то еще хранит пароли, а не хэш от них?

  6. Ирина Чернова avatar
    Ирина Чернова25 февраля 2017
    1

    @apiksDen, Защита CloudFare работает так: все запросы к сайту перенаправляются через сервера CloudFare и потенциально опасные блокируются. Исследователи, упомянутые выше, получали пароли из запросов, которые отправляли пользователи.

    А базы данных сайтов, где хранятся хэши паролей, с CloudFare не взаимодействуют.

  7. bigscrap avatar
    bigscrap25 февраля 2017
    1

    Ну да, где убер и где айфонесы. Как точно расставлены приоритеты.

  8. Alex88 avatar
    Alex8825 февраля 2017
    1

    Да пофиг, пароль от iphones.ru такая необходимая штука, здесь же у всех лежат деньги по миллиону зеленых))

    pioklo avatar
    pioklo25 февраля 2017
    1

    @Alex88, дурик, дело не в информации которая на сайте храниться, а в пароле, почти все пользуют одни пароль везде и узнав его, можно легко зайти на другие сайты.

    Alex88 avatar
    Alex8825 февраля 2017
    1

    @pioklo, дурики те кто на одном пароле все учетки держут и этот пароль 123456))

  9. Lordwind avatar
    Lordwind25 февраля 2017
    2

    Опять дебилы статьи пишут. Читайте оригинал до полного просветления: This list contains all domains that use Cloudflare DNS, not just the Cloudflare proxy (the affected service that leaked data). It’s a broad sweeping list that includes everything. Just because a domain is on the list does not mean the site is compromised, and sites may be compromised that do not appear on this list.

    Ирина Чернова avatar
    Ирина Чернова25 февраля 2017
    2

    @Lordwind, и где противоречие? в статье же написано “жертвами недосмотра могли стать”, а не стали жертвами.

    Lordwind avatar
    Lordwind25 февраля 2017
    2

    @Ирина Чернова, а обезьяна, взяв палку в руки, может стать человеком

  10. AnVS avatar
    AnVS25 февраля 2017
    1

    Где новость “украдено почти миллион паролей читателей iPhones.ru”? Почему редакция замалчивает?

    Ирина Чернова avatar
    Ирина Чернова25 февраля 2017
    0

    @AnVS, а у вас есть еще столь блестящие идеи заголовков?

  11. Alex12 avatar
    Alex1225 февраля 2017
    1

    Почему вы упорно называете сервис CloudFare?

    Ирина Чернова avatar
    Ирина Чернова25 февраля 2017
    1

    @Alex12, спасибо поправила

  12. Tempest avatar
    Tempest25 февраля 2017
    0

    на всех важных вещах стоит аутентификация с телефоном, а остальной мусор хоть взламывайте и перевзламывайте, пофиг :)

  13. p.ant0n avatar
    p.ant0n25 февраля 2017
    0

    Лол, похоже на жёлтую прессу. Кричащий заголовок, заходишь а там полная чушь. Может не может. Позор просто позор.

  14. iVenom_1993 avatar
    iVenom_199327 февраля 2017
    1

    Не понял негатива в комментах. Автору спасибо. Раньше сайт на Роме выезжал, теперь на Ирине.

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь