Cloudflare to niezwykle rozpowszechniona usługa, z której korzystają właściciele ponad 5,5 miliona serwisów internetowych, takich jak Uber, FitBit, Antyweb, Demotywatory czy cda.pl. Wrażliwe dane ich użytkowników są narażone na przejęcie. Dotyczy to haseł, ciasteczek cookies, adresów IP, tokenów, danych osobowych, prywatnych wiadomości, kluczy szyfrujących czy zdjęć. Szanse na to, że zostaną przejęte są niewielkie, ale lepiej dmuchać na zimne.
Lukę w Cloudflare namierzył Travis Ormandy, pracownik Google, zajmujący się zagadnieniami bezpieczeństwa w sieci. Podczas analizy wyników badań w projekcie nad którym pracował, zauważył dziwne, niepasujące do oczekiwanych dane. Okazało się, że podrzuciły mu je serwery zwrotne proxy należące do Cloudflare. Korzysta z nich naprawdę spora liczba znanych serwisów internetowych.
Cloudflare have been leaking customer HTTPS sessions for months. Uber, 1Password, FitBit, OKCupid, etc. https://t.co/wjwE4M3Pbk
— Tavis Ormandy (@taviso) February 23, 2017
Serwery te zawierały w pamięci wrażliwe dane, które powinny tam pozostać, ale z jakichś powodów były przekazywane do odpowiedzi na żądania przypadkowym klientom. Wśród nich znajdowały się:
- klucze szyfrujące i klucze API
- ciasteczka
- hasła
- adresy IP użytkowników
- tokeny OAuth
- parametry URI
- fragmenty żądań POST zawierające np.:
- prywatne wiadomości z serwisów randkowych
- żądania API z managerów haseł przesłane przez HTTPS
- stopklatki z filmów pornograficznych
- potwierdzenia rezerwacji hoteli
Informacje automatycznie otrzymywał każdy, kto wchodził na pewne strony stojące za Cloudflarem, choć przeglądarka nie wyświetlała ich w łatwo dostępny sposób. Oznacza to, że ktoś, kto chciałby przejąć jakiekolwiek dane musiałby dokładnie wiedzieć, gdzie ich szukać.
Cloudflare szybko podjął działania i rozpoczął procedury likwidowania problemu. Firma nieco ociągała się z opublikowaniem oświadczenia na ten temat, dlatego informację o tym otrzymujemy dopiero dziś – tydzień po odkryciu przecieku. Według ustaleń firmy, wyciek danych zachodził między 13 a 18 lutego. Zgodnie z częstotliwością przypadkowego wysyłania wrażliwych danych, problem dotknął tylko 0,06% wszystkich stron obsługiwanych przez Cloudflare, ale dane te mogły pochodzić z każdego z serwisów, korzystających z usług Cloudflare. Tu macie pełną ich listę. Wśród nich znajduje się kilka stron z końcówką .pl:
- antyweb.pl
- cda.pl
- chomikuj.pl
- demotywatory.pl
- fotka.pl
- peb.pl
- sadistic.pl
- trojmiasto.pl
Nie ma znaczenia, czy przeglądaliśmy lub logowaliśmy się na tych stronach na komputerze czy mobilnie. Żeby wykluczyć ryzyko pojawienia się jakichkolwiek problemów, warto zamienić hasła do każdego serwisu, z którego korzystamy, a który korzysta z usług Cloudflare’a i włączyć weryfikację dwuetapową tam, gdzie to tylko możliwe.
Jeśli chcecie wniknąć w przyczyny wycieku i interesuje Was warstwa techniczna tego wydarzenia, zajrzyjcie na stronę Niebezpiecznika – tam wszystko jest dokładnie opisane.
Dostaliśmy też informację od serwisu GoldenLine.pl:
„Informujemy, że GoldenLine.pl korzysta z usług Cloudflare, natomiast nie w obszarze, którego dotyczył błąd. W wyniku przeprowadzonej dodatkowej kontroli możemy potwierdzić, że nie używamy tych usług Cloudflare, które były narażone na błąd pod nazwą „Cloudbleed”. Oznacza to, że wrażliwe dane naszych użytkowników nie mogły ulec udostępnieniu osobom trzecim.”
źródło: niebezpiecznik.pl, @DyrektorTT – dzięki za cynk!
