Negli ultimi mesi, un bug nel popolare Cloudflare servizio può avere esposto i dati sensibili—compresi i nomi utente, le password e i messaggi privati—per il mondo in testo normale. Ma quanto è grande questo problema, e cosa si deve fare?
Che Cosa È Cloudflare?
Cloudflare è un servizio che offre la sicurezza e le prestazioni (tra le altre cose) di una vasta rete di siti web. Esso agisce come un proxy inverso, un intermediario tra l’utente e di un determinato sito web. Quando si va a visitare il sito, verrai indirizzato a una di Cloudflare server invece che il sito vero e proprio server.
Questo permette di Cloudflare per garantire sei un utente legittimo (e quindi la protezione da attacchi denial of service), di caricare il sito più veloce (visto che hai nella cache di alcune parti del sito), e la protezione contro i tempi di inattività (in quanto si dispone di più server in tutto il mondo e può cadere su qualsiasi server, se uno ha un problema).
Cloudflare assicura DDoS attaccanti non ottenere il loro traffico attraverso il sito web.
In breve: Cloudflare mira a rendere i siti più veloce e più sicuro, ed è un servizio in un sacco di siti web utilizzare.
Che Cosa È Successo? (E Che Cosa È “Cloudbleed?”)
Purtroppo, nulla è sicuro al 100%, anche se un sito utilizza un servizio come Cloudflare, e bug accadere. In questo caso, Cloudflare effettivamente causato un problema di sicurezza: un bug nel reverse proxy codice che analizza HTML causato Cloudflare server di perdere il contenuto della sua memoria, in determinate circostanze. (Alcune persone si riferiscono a questo come “Cloudbleed”, un play off il Heartbleed bug che ha colpito anche una grande porzione di internet.)
Questi dati possono essere inclusi tutti i tipi di dati sensibili come nomi utente, password, messaggi privati, token OAuth, e molto di più. Ancora peggio, alcuni di quei dati è stata indicizzata e cache da alcuni motori di ricerca (circa 700 pagine, secondo Cloudflare), quindi se si sapeva che cosa cercare su Google, si potrebbe trovare che i dati sensibili agli utenti che accedono al momento di una specifica perdita.
Se si sa cosa cercare, si può trovare alcuni di Cloudflare informazioni trapelate sui motori di ricerca.
Questo bug è stato scoperto per circa cinque mesi, ed è stato patchato, dopo essere stata scoperta questa settimana. Cloudflare dice “la fase di maggiore impatto è stato, dal 13 febbraio e il 18 febbraio con circa 1 in ogni 3,300,000 richieste HTTP attraverso Cloudflare, potenzialmente con conseguente perdita di memoria (che su di 0.00003% delle richieste).”
Ma con un servizio così popolare come Cloudflare, 0.00003% è ancora un sacco. Alcune persone sono state compilazione di un elenco di siti che utilizzano il Cloudflare, e comprende oltre 4 milioni di domini tra cui Yelp, OkCupid, Uber, Authy, Medio, e molti, molti altri. (Alcune applicazioni sono influenzati.)
Si può leggere di più circa i dettagli tecnici di questo bug a Cloudflare blog, anche se sarà probabilmente solo interesse di voi, se siete un programmatore—se sei un normale utente di internet, l’unica cosa che devi sapere è…
Cosa Devo Fare?
Primo: non preoccupatevi troppo. Non tutti i siti elenco di 4 milioni necessariamente fatto trapelare informazioni riservate, se un sito è stato Cloudflare per memorizzare nella cache i dati di immagine, per esempio, non ci sarebbe nessuna informazione sensibile perdita. E non è come ogni perdita è stato un maestro lista di password in ogni caso—è stato casuale di pezzi di informazioni, che potrebbe avere un paio di casuale di nomi utente e password in qualsiasi momento.
Tuttavia, Cloudflare anche notato che uno di loro chiavi private è trapelato, che avrebbe fornito un utente malintenzionato di accedere a un sacco di interni Cloudflare dati, tra cui, potenzialmente, i nomi utente e le password. Cloudflare è stato molto vago su questo punto in particolare, nonostante che sia un grosso rischio per la sicurezza, con il potenziale di perdita di un sacco ulteriori informazioni sensibili
Tutto ciò che ha detto, non c’è vero modo per capire se uno qualsiasi dei vostri dati è stato perso e dove, quindi, l’unico corso di azione in questo momento è quello di cambiare tutte le tue password. (Certo, si può guardare attraverso l’elenco dei 4 milioni di siti e modificare solo quelli utilizzati da Cloudflare, ma onestamente, non sarebbe probabilmente più facile e più veloce per cambiare tutti.)
Le solite regole, con le password applicare qui: non utilizzare la stessa password su più siti, utilizzare un gestore di password come LastPass, e attivare l’autenticazione a due fattori per ogni sito che lo permette. Se non fa queste cose, Cloudflare bug è probabilmente l’ultima delle tue preoccupazioni ma, dopo tutto, ottenere hacked siti tutto il tempo, e se si utilizza la stessa password ovunque, tutti i dati vengono regolarmente a rischio.
ARTICOLI CORRELATI
Perché Si Dovrebbe Usare un Password Manager, e Come iniziare a
Ciò che È l’Autenticazione a Due fattori, e Perché Ne ho Bisogno?
Se si sta già utilizzando un gestore di password, questo processo dovrebbe essere facile (anche se un po ‘ lungo e noioso). Ma si dovrebbe essere utilizzato per questa danza.