Under de senaste månaderna, en bugg i den populära Cloudflare service kan ha avslöjat känsliga data användare, inklusive användarnamn, lösenord och privata meddelanden till världen i klartext. Men hur stort är problemet och vad ska du göra?
Vad Är Cloudflare?
Cloudflare är en tjänst som erbjuder säkerhet och prestanda har (bland annat) att ett brett nätverk av webbplatser. Det fungerar som en omvänd proxy, en mellanhand mellan dig som användare och en viss webbplats. När du går för att besöka denna webbplats, kommer du att hänvisas till en av Cloudflare servrar i stället för den faktiska webbplatsens servrar.
Detta gör att Cloudflare att säkerställa att du är en legitim användare (alltså skydd mot denial of service-attacker), ladda webbplats snabbare (eftersom de har cachade vissa delar av webbplatsen), och skydda mot driftstopp (eftersom de har flera servrar i hela världen och kan falla tillbaka på någon server om man har ett problem).
Cloudflare säkerställer DDoS angripare inte får sin trafik genom att den faktiska webbplatsen.
Kort sagt: Cloudflare syftar till att göra webbplatser snabbare och säkrare, och det är en tjänst som många webbplatser använder.
Vad Hände? (Och Vad Är “Cloudbleed?”)
Tyvärr, ingenting är 100% säkert, även om en webbplats använder en tjänst som Cloudflare, och buggar hända. I detta fall, Cloudflare faktiskt orsakat en trygghet problem: en bugg i omvänd proxy-kod som tolkar HTML-orsakade Cloudflare servrar för att läcka innehållet i sitt minne under vissa omständigheter. (Vissa människor som hänvisar till detta som “Cloudbleed”, en pjäs av Heartbleed bugg som också påverkade en stor del av internet.)
Denna data kan ha omfattat alla typer av känsliga data, inklusive användarnamn, lösenord, privata meddelanden, OAuth-token, och mycket mer. Ännu värre, vissa av dessa uppgifter var indexeras och cachade av vissa sökmotorer (ca 700 sidor, enligt Cloudflare), så om du visste vad du vill söka på Google, kan du hitta känsliga data från en användare som loggar in på tiden för en specifik läcka.
Om du vet vad du ska söka efter, kan du hitta några av Cloudflare läckt information på sökmotorerna.
Denna bugg gick oupptäckta för ungefär fem månader, och blev fixad efter att ha upptäckt denna vecka. Cloudflare säger att “den största perioden av verkan från och med den 13 februari och den 18 februari med runt 1 i varje 3,300,000 HTTP begär genom Cloudflare vilket kan resultera i minnet läckage (det handlar om 0.00003% av ansökningarna).”
Men med en tjänst som populär som Cloudflare, 0.00003% är fortfarande en hel del. En del folk har varit att sammanställa en lista av webbplatser som använder Cloudflare, och den innehåller över 4 miljoner domäner—inklusive Yelp, OkCupid, Uber, Authy, Medium, och många många fler. (Vissa mobile apps påverkas också.)
Du kan läsa mer om de tekniska detaljerna av denna bugg på Cloudflare bloggen, men det kommer förmodligen bara intresserar dig om du är en programmerare om du är en regelbunden användare av internet, det enda du behöver veta är att…
Vad Ska Jag Göra?
För det första: att inte få panik för mycket. Inte varje plats på listan över 4 miljoner nödvändigtvis läckt känslig information—om en webbplats var att bara använda Cloudflare att cache image data, till exempel, det skulle vara att ingen känslig information att läcka. Och det är inte som varje läckan var en mästare lista med lösenord hur som helst—det var slumpmässiga bitar av information, som kan ha omfattat några slumpmässigt användarnamn och lösenord vid varje given tidpunkt.
Men Cloudflare också noteras att en av deras egna privata nycklar läckte, som skulle ha gett en angripare tillgång till en hel del interna Cloudflare data—inklusive eventuellt användarnamn och lösenord. Cloudflare var mycket vagt om just denna punkt, trots att det är en stor säkerhetsrisk med potential att läcka mycket mer känslig information
Alla som sagt, det finns ingen riktig väg att berätta om någon av dina uppgifter läckte ut och där, så det enda säkra åtgärden just nu är att ändra alla dina lösenord. (Visst, du kan titta igenom listan över 4 miljoner webbplatser och förändras endast i de som används av Cloudflare, men ärligt talat, det skulle nog vara enklare och snabbare att bara ändra dem alla.)
De vanliga reglerna med lösenord gäller här: använd inte samma lösenord på flera olika webbplatser, använda ett password manager som LastPass, och slå på två-faktor autentisering för varje webbplats som gör det. Om du inte gör dessa saker, Cloudflare felet är förmodligen den minsta av dina bekymmer—efter alla, webbplatser blir hackade hela tiden, och om du använder samma lösenord överallt, att alla dina data regelbundet på risk.
RELATERADE ARTIKLAR
– Varför Du Bör Använda ett Lösenord Manager, och Hur man kan Komma Igång
Vad Är Två-Faktor Autentisering, och Varför Behöver jag Det?
Om du redan använder ett lösenord manager, denna process bör vara lätt (om än lite lång och tråkig). Men ni bör användas för att denna dans nu.