Уязвимость популярного сервиса Cloudflare привела к утечке паролей, сообщений с сайтов знакомств и других данных пользователей
24 фев 2017 22:05 #53278
от ICT
ICT создал тему: Уязвимость популярного сервиса Cloudflare привела к утечке паролей, сообщений с сайтов знакомств и других данных пользователей
Популярный сервис Cloudflare, обеспечивающий защиту сайтов от DDoS-атак, сообщил об выявлении уязвимости, которая привела к утечке значительного объема личных данных пользователей, включая пароли, данные о бронировании отелей, сообщения с сайтов знакомств и другую информацию. Подробное описание уязвимости и ее последствий было опубликовано в блоге
Cloudflare
23 февраля. Как пишет
The Verge
, 18 февраля на существование уязвимости в системах Cloudflare, которая возникла еще 22 сентября прошлого года, обратил внимание Тэвис Орманди, член команды Google Project Zero, занимающейся защитой интернет-пространства от различных угроз. Эксперт выяснил, что при обычном обращении к определенной странице в сети Cloudflare сервис отдавал не только запрашиваемые данные, но и часть персональных данных с какого-нибудь другого сервиса, пишет
"Медуза"
. Такое происходило, когда та или иная страница с точки зрения одного из механизмов Cloudflare была составлена с ошибками. Кроме того, из-за уязвимости некоторый объем конфиденциальных данных попал в открытый доступ, и эти сведения были проиндексированы интернет-поисковиками. "До этого инцидента и не представлял, какая значительная часть интернета пользуется услугами Cloudflare. Речь идет о полных https-запросах, IP-адресах клиентов, паролях, ключах, куках, данных, обо всем", – написал Орманди в
блоге
Google Project Zero. Обнаружив проблему Орманди проинформировал о ней специалистов Cloudflare, которые оперативно исправили ошибку, а затем связались с поисковиками, чтобы те удалили попавшие в кэш страницы с конфиденциальной информацией. Как утверждают представители сервиса, им неизвестно о случаях использования уязвимости злоумышленниками. Клиентами Cloudflare являются многие крупные сайты. Согласно информации, опубликованной на ресурсе
GitHub
, уязвимость могла затронуть почти 4,3 млн доменов. Среди наиболее значимых из них можно выделить блог-платформу Medium, имиджборд 4chan, торрент-трекер The Pirate Bay, сервис такси Uber, сайт знакомств OKCupid, а также российский сайт о смартфонах 4pda.ru. Пользователям этих и других потенциально затронутых ресурсов настоятельно рекомендуется сменить пароли от учетных записей.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.