Затронуты крупнейшие сайты – от Uber до, возможно, даже iPhones.ru.
Как нашли утечку
Специалист по инфобезопасности Тевис Орманди из Google Project Zero ради интереса делал программные запросы к API сайта, который защищен CloudFlare. Внезапно он обнаружил, что в ответе сервера есть не только запрашиваемая им информация, но и персональные данные пользователей других сайтов, которые используют CloudFlare.
Сначала он подумал, что что допустил какую-то ошибку в своем коде, но в ходе экспериментов обнаружил, что имеет место быть глобальная проблема утечки информации.
Вот пример приватных данных случайного пользователя Uber, которые Тевис обнаружил, делая запросы к совсем другому сервису:
В итоге Тевис и другие специалисты, которые подключились к изучению проблемы смогли собрать множество сведений о случайных людях: cообщения с сайтов знакомств, данные о бронировании отелей, IP-адреса, куки, пароли и разнообразную личную информацию из профилей пользователей.
Это случилось еще 17 февраля, но только в последние сутки эта новость появилась на крупных новостных ресурсах мира. На данный момент, CloudFlare уже устранили проблему.
Но эту уязвимость могли ранее обнаружить другие люди и собирать чужие персональные данные, не сообщая CloudFlare. Ведь описанная выше проблема существовала почти полгода, с 2016-09-22 по 2017-02-18.
Что надо сделать именно вам
Специалисты по ИБ рекомендуют сменить пароль на всех сайтах, которые защищает Cloudflare и которыми вы активно пользуетесь. В первую очередь, на нашем сайте.
Неважно, сложный у вас пароль или нет. Найденная уязвимость позволяет посмотреть пароли случайных пользователей в незашифрованном виде. Неизвестно, удалось это кому-то или нет.
Представители Cloudflare утверждают, что, скорее всего, баг никому не известен, так как они не замечали никакой подозрительной активности ботов для сборов данных.
Жертвами недосмотра могли стать пользователи множества популярных сервисов. Среди них:
- Upwork
- Medium
- Uber
- Avito
- 1Password
- The Pirate Bay
- Udacity
- Digital Ocean
По списке на GitHub есть 4,287,625 домена.
Чтобы узнать, защищает ли CloudFlare определенный сайт, надо посмотреть адреса его DNS-серверов. Или на сайте doesitusecloudflare.com.
Узнать больше: подробный первые посты Тевиса Орманди на эту тему.
Примечание редактора: Коротко – меняйте пароли на всех крупных сервисах и сайтах, в том числе российских. Интересно, у кого ещё хватит смелости предупредить о проблеме свою аудиторию, а кто замолчит и сделает вид, что всё хорошо.
33 комментариев