Gigantyczny wyciek poufnych danych z milionów serwisów. Ty też możesz być poszkodowanym!
Tavis Ormandy poinformował dziś o gigantycznej luce w zabezpieczeniach sieci Cloudflare. Co to za sieć? A taki tam, mały gracz, z którego usług korzysta większość z usługodawców, z których korzystasz.
Tavis Ormandy, zatrudniony przez Google ekspert ds. cyberbezpieczeństwa opublikował w Sieci informację na temat bardzo groźnej usterce w zabezpieczeniach sieci Cloudflare. Jeżeli nie znacie tej nazwy, to nic dziwnego, firma ta tworzy bowiem infrastrukturę dla innych usługodawców. Sęk w tym, że jest ich ponad 5,5 mln i należą do nich takie firmy, jak Uber czy Fitbit.
Jak groźna jest ta luka? Jak informuje Niebezpiecznik.pl, nasze hasła, ciasteczka, adresy IP, tokeny, dane osobowe, prywatne wiadomości, zdjęcia oraz klucze szyfrujące „losowo” wyciekały do Internetu, a część z nich nadal można znaleźć w pamięciach podręcznych wyszukiwarek internetowych.
Problemem okazał się jeden znaczek w kodzie źródłowym.
Usterka istnieje od 22 września i została przez Ormandy’ego odkryta przypadkiem. Na dane z Cloudflare natknął się szukając czegoś zupełnie innego. Nie tylko dostęp do najprywatniejszych danych stał przed nim otworem, ale również były one jawnie dostępne dla robotów skanujących wyszukiwarek internetowych. To z kolei oznacza, że nawet po usunięciu luki ich kopie będą dalej rezydować na tysiącach serwerów firm, które trudnią się przetwarzaniem i analizą danych internetowych.
Jak wynika z wyjaśnień Cloudflare, dane wyciekły w wyniku wadliwego parsera HTML powodującego błąd typu buffer overrun polegającym na użyciu == zamiast >=. Jak twierdzi winowajca, wyciek danych zachodził głównie w dniach 13-18 lutego z częstością jednego żądania na każde 3,3 mln żądań.
Poszkodowany może być każdy z nas
Co prawda rachunek prawdopodobieństwa mówi nam, że ilość wyciekniętych danych w zestawieniu z liczbą wszystkich klientów wszystkich usługodawców oznacza, że najprawdopodobniej problem nas nie dotyczy. Biorąc jednak pod uwagę prawa Murphy’ego, ktoś właśnie zamawia na twój koszt Ubera i już przejął twoje konta dzięki przejęciu twoich danych w twoim menadżerze haseł.
Jest na to rada. Uniwersalna. Tyczy się większości poważnych usług internetowych. Od Kont Google i Microsoft aż po serwisy społecznościowe czy aplikacje do zamawiania taksówek. Włączcie wszędzie, gdzie się tylko da, dwuetapowe uwierzytelnianie użytkownika (2FA). Wtedy włamywacz nawet mając twój login i hasło nie będzie mógł się zalogować na twoje konto.
Co prawda charakter wycieku z Cloudflare i tak powoduje, że jeśli jesteś jednym z relatywnie nielicznych nieszczęśliwców nim dotkniętych, to i tak możesz mieć problem. Jest to jednak sytuacja wyjątkowa i ekstremalnie rzadko spotykana. Weryfikacj dwuetapowa znacząco zwiększa bezpieczeństwo twojego cyfrowego świata.
