Сервис Cloudflare должен защищать сайты. Но он месяцами сливал данные пользователей.

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,480
Реакции
8,861
Баллы
753
Сервис Cloudflare должен защищать сайты. Но он месяцами сливал данные пользователей в открытый доступ Среди клиентов сервиса — Uber, 1Password и «Авито»



Руководитель Cloudflare Мэттью Принс

Фото: Max Whittaker / TechCrunch (CC BY 2.0)

23 февраля крупнейшая сеть доставки контента Cloudflare объявила о выявлении серьезной уязвимости. Как оказалось, сервис, который должен защищать сайты, передавал информацию о пользователях в открытом виде, и ее мог получить любой, кто знал об уязвимости. По счастливой случайности, обнаружил «дыру», которой как минимум пять месяцев, не злоумышленник, а специалист по безопасности из Google. «Медуза» рассказывает, почему уязвимость Cloudflare — это серьезно.

Что такое Cloudflare?
Сервис Cloudflare существует c 2009 года и, как говорится на сайте компании, «заставляет интернет работать так, как он должен». По сути, Cloudfare это посредник между сайтом и пользователем, который одновременно защищает сервера клиентов (то есть того или иного сайта или сервиса) и ускоряет открытие сайта для обычных посетителей.

К примеру, владельцы небольших сервисов с помощью Cloudflare избавляются от необходимости тратиться на сервера и на защиту от DDoS-атак — вопрос доступа к сайтам своих клиентов Cloudflare берет на себя и фильтрует запросы, которые похожи на атаки. Сервис также занимается защитой всех данных, проходящих через его сеть и гарантирует их конфиденциальность. Многие функции Cloudflare бесплатны и доступны для владельцев небольших сайтов, но компания работает и с очень крупными клиентами: Uber, сайт знакомств OKCupid, сервис хранения паролей 1Password и другими, в том числе российский сайт с объявлениями «Авито».

Cloudflare — крупнейший подобный сервис, его услугами пользуются более пяти миллионов различных сайтов. Он не раз защищал сайты от крупных DDoS-атак.

В чем заключается уязвимость?
Как выяснил специалист по сетевой безопасности Google Тэвис Орманди, при обычном обращении к определенной странице в сети Cloudflare сервис отдавал не только запрашиваемые данные, но и часть данных какого-нибудь другого сервиса. Сначала ему показалось, что ошибка в его собственном коде (Орманди работал над каким-то своим проектом), но потом он выяснил, что это уязвимость на стороне Cloudflare — так происходило, когда та или иная страница с точки зрения одного из механизмов сервиса была составлена с ошибками. Причем среди данных были и персональные данные, и сведения об авторизации пользователей, которые работают с сервисом. В том числе Орманди удалось обнаружить информацию с сайтов Uber и OKCupid. Полученные сведения он уничтожил.

Так происходило примерно один раз на три миллиона запросов, однако если учесть количество клиентов Cloudflare, то к уязвимости нужно относиться крайне серьезно. Тем более что если один раз найти страницу с ошибками, через которую утекают данные, то обращаться к ней можно сколько угодно раз — и каждый раз получать конфиденциальную информацию из сети Cloudflare

Ошибка закралась в систему, которая готовит страницы для распространения через сервис Google AMP, ускоряющий просмотр сайтов на мобильных устройствах. Из-за уязвимости случайное количество данных попадало в открытый доступ и их индексировали поисковые машины. Как выяснили в Cloudflare (на подробный анализ потребовалась почти неделя), уязвимость появилась не позднее 22 сентября 2016 года — то есть пять месяцев в открытый доступ попадали случайные порции конфиденциальных данных, в том числе личной информации пользователей крупнейших компаний.

Среди «утекшей» информации оказался ключ шифрования, который использовали в Cloudflare для защиты собственных сетей.

«Это была ошибка в штуке, которая понимает HTML. Мы распознаем изменения веб-страниц на лету, и пропускаем через наши системы, Чтобы это работало, страницы должны быть у нас в памяти. Оказалось, что можно дойти до конца страницы и попасть в ту часть памяти, куда смотреть не стоило», — объясняет один из создателей Cloudflare Джон Грэм-Камминг.

Какие последствия?
Достоверно не известно, какие именно данные попали в открытый доступ, и смог ли кто-нибудь их найти. В Cloudflare утверждают, что никакие злоумышленники уязвимостью воспользоваться не успели, потому что не знали о ней — хотя она и существовала почти полгода. Компания заверяет, что в противном случае обязательно обнаружила бы подозрительную активность хакеров.

Если эти утверждения — правда, и первым об уязвимости действительно узнал специалист по компьютерной безопасности из Google, у которого не было никаких дурных мотивов, то главная проблема утечки заключается в кэшированных интернет-поисковиками данных. Cloudflare уже начала активную работу со всеми крупнейшими поисковыми системами и оперативно вычищает все конфиденциальные сведения практически на глазах («Медузе» удалось найти в одной из кэшированных страниц Google непубличные данные с сервиса Uber, а спустя несколько часов они перестали быть доступны).

На github уже собран список крупнейших сайтов, которые работали с Cloudflare и могли быть подвержены утечке данных. Наиболее важный из них, сервис хранения паролей 1Password, уже заявил, что данные его пользователей все время находились в безопасности — компания использует более сложные системы защиты. Не нанесен ущерб и пользователям российского сайта объявлений «Авито». В списке сайтов, чьи данные все же могли попасть в открытый доступ, есть, помимо Uber, блог-сервис Medium, торрент-трекер The Pirate Bay, сайт 4pda.ru и многие другие. Если у вас была учетная запись на одном из этих сайтов, лучше сменить пароль.

Сервис Cloudflare должен защищать сайты. Но он месяцами сливал данные пользователей в открытый доступ: Среди клиентов сервиса — Uber, 1Password и «Авито» — Meduza
 

akok

Команда форума
Администратор
Сообщения
18,122
Реакции
13,644
Баллы
2,203
regist, не нагоняй панику :) Cloudflare используется как (у нас) DNS сервер и проксирование включается крайне редко... а вот AMP (хотя фича интересная) мы вообще не использовали.
Если, что могу подключить, может форум быстрее работать будет у пользователей с медленным интернетом.
 
Последнее редактирование:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,480
Реакции
8,861
Баллы
753
Даркнет предлагает 150 млн паролей, похищенных в результате атак на CloudFlare



Данные были похищены путем эксплуатации недавно обнаруженной уязвимости Cloudbleed.

Подпольный форум для кардеров CVV2Finder предлагает свыше 150 млн взломанных учетных записей клиентов ряда популярных сервисов, в том числе Netflix и Uber. Товар могут приобрести исключительно VIP-участники форума.

Данные были похищены в результате эксплуатации недавно обнаруженной уязвимости, ставшей причиной утечки информации клиентов популярного сервиса CloudFlare. Сервис является посредником между сайтами и пользователями, одновременно защищающим серверы клиентов и оптимизирующим работу сайтов. Услугами CloudFlare пользуются около 5 млн различных ресурсов, в том числе Uber, сайт знакомств OKCupid, сервис хранения паролей 1Password, российский сайт с объявлениями «Авито» и др.

Реальные масштабы утечки пока неизвестны. Согласно сообщению CloudFlare, злоумышленники похитили файлы cookie, токены для аутентификации пользователей, тело HTTP POST-запросов и другие конфиденциальны данные. Что именно подразумевается под «другими конфиденциальными данными», а также пользователи каких сервисов пострадали, в компании не уточняют. Тем не менее, канадский исследователь Phineas опубликовал на GitHub свой список из более 4 млн доменов, потенциально затронутых утечкой.

Как сообщается на форуме CVV2Finder, VIP-участники могут за $250 тыс. приобрести более 150 млн учетных записей различных сервисов.

«Дорогие пользователи Глубинной паутины, в результате последних успешных атак (Cloudbleed) на серверы CloudFlare, стали доступны свыше 150 млн свежих учетных записей Uber, Netflix и многих других. Через несколько часов данные появятся в базе данных по цене в $250 тыс. Предложение действительно только для VIP-пользователей», - сообщается на форуме CVV2Finder.

Если 150 млн предлагаемых на подпольном рынке учетных записей действительно настоящие, то масштаб утечки может оказаться гораздо большим, чем предполагалось изначально.

Даркнет предлагает 150 млн паролей, похищенных в результате атак на CloudFlare
 

mike 1

Активный пользователь
Сообщения
2,407
Реакции
924
Баллы
453
Блин, теперь из-за этих оленей все пароли менять нужно будет. Благо на некоторых ресурсах 2FA включена.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,480
Реакции
8,861
Баллы
753
Уязвимость CloudBleed: как защитить свои данные?

Компания Cloudflare официально сообщила об обнаружении серьезной ошибки в исходном коде своего сервиса (уязвимость CloudBleed), которая может приводить к утечке данных на крупных веб-сайтах и сервисах, включая Uber, Fitbit, 1Password и OkCupid
По предварительным оценкам сервис Cloudflare используется на 4,2 миллионов доменов. Под угрозой оказались личные сообщения, пароли, криптографические ключи и другие конфиденциальные данные. Среди клиентов Cloudflare очень много популярных сервисов, в частности торрентов и сайтов для майнинга биткоинов.



Суть заключается в том, что никто точно не знает, сколько сайтов были затронуты уязвимостью утечки данных. Ошибка присутствовала в Cloudflare на протяжении 5 месяцев перед тем, как была обнаружена экспертом Google Тависом Орманди (Tavis Ormandy).

Утечки совершались с 22 сентября 2016 года по 18 февраля 2017 года и приводили к появлению в открытом доступе такой информации, как пароли, токены OAut, сессионные cookie, закрытые сообщения, ключи для доступа к API и другие конфиденциальные данные. Информация утекала в составе ответов на случайные запросы. Хуже всего, что утекающие в результате ошибки данные оседали в кэше поисковых систем и могли быть выловлены злоумышленниками через отправку типовых поисковых запросов.

Google, Yahoo, Bing и другие поисковые системы занимались очисткой раскрытых данных перед тем, как Cloudflare публично объявила о существовании проблемы, чтобы защитить пользователей от потенциальных хакерских атак. Исследователи продолжают находить образцы просочившихся данных в кэше поисковых систем, поэтому ясно, что проблема полностью не решена.

Исследователь безопасности Гектор Мартин сообщил в твиттере, что каждый может найти случайные cookie для аутентификации на сайтах, пострадавшие от Cloudbleed, прямо в поисковой выдаче Google. Хуже всего, что они до сих пор работают. Название Cloudbleed было выбрано по аналогии с серьезной уязвимостью прошлых лет - HeartBleed OpenSSL.

Компания Cloudflare утверждает, что Тавис Орманди первым обнаружил ошибку, поэтому велика вероятность, что все данные будут почищены. Cloudflare утверждает, что в худшем случае только 1 запрос из 3,3 миллионов мог вызвать утечку данных, т.е. вероятность утечки составляет 0,00003%. Тем не менее, следует предпринять меры для защиты своих данных.

Проверьте список сайтов
В первую очередь следует проверить, какие сайты и сервисы затронуты Cloudbleed. Один из пользователей GitHub разместил список всех сайтов, использующих Cloudflare. В списке можно найти очень известные имена, например, Patreon, 4chan, Medium, Bitpay, News.ycombinator.com, uber.com, Yelp.com и uber.com.

В сети доступен инструмент под названием DoesItUseCloudflare. Пользователи могут проверить, подвержены ли Cloudbleed конкретные сайты. Если сайт затронут уязвимостью, то сообщение будет показываться в красном блоке. Если угроза для безопасности данных отсутствует, то сообщение будет показываться в зеленом блоке.



Защитите свои аккаунты
Рекомендуется также сменить пароли от учетных записей, на сайтах, использующих сервисы Cloudflare и на других сайтах, на которых используются такие же пароли. Также не лишним будет включение двухфакторной аутентификации.

Администраторам сайтов также нужно принять меры безопасности, потому что среди рассекреченных данных могут быть не только пароли, но и файлы куки и токены для аутентификации. Многие ресурсы, использующие Cloudflare, заявляют, что их данные не были раскрыты, но все же рекомендуют пользователям сменить пароль на всякий случай.

Уязвимость CloudBleed: как защитить свои данные?
 
  • Like
Реакции: akok

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
5,010
Баллы
743
Мимо белого яблока луны,
Мимо красного яблока заката
Облака из неведомой страны
К нам спешат и опять бегут куда-то.
 
Последнее редактирование:

Phoenix

Ветеран
Сообщения
2,108
Реакции
2,055
Баллы
503
[SPOILER.="off"]
Мимо белого яблока луны,
Мимо красного яблока заката
Облака из неведомой страны
К нам спешат и опять бегут куда-то.
[/SPOILER]
"А по небу прокатите нас,
Облака!"
..Белогривые лошары..:Girl Haha:Ну зачем вы довяряете, ооблокаам :Big Boss:
Это же инструмент Глобального Управления (Предикции).
Помните фильм - Враг государства..
Утечки совершались с 22 сентября 2016 года по 18 февраля 2017
От же ш.. любимое число иерофантов 22 и 1+8=9...:Dirol: (11 добрых жрецов и 11 злых) если 22 - значит конценсус (22 06 1941).. если 11 - конценсус не достигнут (09.11.2001)..

Нооскоп — это вообще что такое? Разбор научной статьи, которую мог написать новый глава администрации президента — Meduza
 
Последнее редактирование:
Сверху Снизу