cloudflare

Stiri – Cloudflare a aruncat in internet date sensibile despre clienti: parole, cookie-uri, cadre video chat, rezervari hoteluri …

Un cunoscut cercetător în domeniul securității Google a descoperit că Cloudflare expunea online mesaje de chat, chei de criptare, cookie-uri, date de gestionare a parolelor, rezervări de hoteluri și multe altele. Rețeaua de livrare a conținutului a confirmat rapid constatarea, a trasat-o la o eroare de codare care implică doar un singur caracter greșit și a pus la punct remedierile aferente.

Dar datele scurse au fost stocate în cache de către motoarele de căutare majore, iar descoperirea a declanșat un efort frenetic de eliminare a datelor cache înainte ca defectul să fie publicat. O mare parte din datele expuse ar fi fost în mod normal protejate de SSL / TLS, dar natura vulnerabilității a făcut ca acestea să fie expuse la internet într-o formă necriptată.

Nu se știe cât de multe date s-au scurs, ceea ce poate îngreuna companiile și utilizatorii să decidă care ar trebui să fie cea mai prudentă reacție la acest raport de erori.

Cloudflare este specializat în îmbunătățirea performanței și redundanței site-urilor web, precum și în oferirea protecției împotriva atacurilor, cum ar fi refuzul de serviciu distribuit . Descoperirea arată cum o legătură slabă într-un singur serviciu cloud utilizat pe scară largă poate avea un impact vast asupra securității datelor din intreaga lume.

Datele sensibile au fost expuse timp de „luni”, scrie Tavis Ormandy de la Google , un cercetător al companiei Project Zero, care a găsit eroarea. El l-a numit în glumă Cloudbleed, un portmanteau care amintește vulnerabilitatea Heartbleed OpenSSL, cand aproape 180.000 de servere au fost expuse si sunt încă vulnerabile.

Cloudflare nu a lansat o listă a domeniilor afectate. Dar Nick Sweeting , cofondatorul și directorul tehnic al Blitzka Software, a creat o listă de 4,3 milioane de site-uri web care utilizează Cloudlfare și își propune să restrângă în cele din urmă lista pentru a afișa doar site-urile lăsate în pericol de eroarea de codare.

Până în prezent, Ormandy a găsit date pe web de la Uber, 1Password, FitBit și OKCupid. 1Password, un manager de parole utilizat pe scară largă, spune că datele expuse au fost criptate în alte două moduri, făcând astfel bug-ul Cloudflare o consecință dezastruoasa pentru utilizatori.

„În acest moment, dorim să le asigurăm și să le reamintim tuturor că am proiectat 1Password cu așteptarea că SSL / TLS poate eșua” , scrie Jeffrey Goldberg , un arhitect de securitate cu AgileBits – care dezvoltă 1Password – într-o postare pe blog.

Cloudflare, într-un postmortem detaliat a ceea ce nu a funcționat corect, spune că eroarea s-a echivalat cu utilizarea accidentală a unui singur caracter – „>” în loc de „=” – care a cauzat o depășire a tamponului, care a dus la scurgerea de date observată de Ormandy.

Cloudflare a introdus accidental eroarea într-un analizor HTML , spune John Graham-Cumming , directorul tehnic al companiei, într-o postare pe blog. Analizatorul HTML modifică paginile web care vin prin serverele Edge Cloudflare din motive de securitate, cum ar fi ascunderea adreselor de e-mail de la roboții de scraping cunoscuți.

Până în prezent, nu pare că eroarea a fost descoperită de altcineva sau exploatată, spune Graham-Cumming. Deși cheile SSL utilizate de clienții Cloudflare nu au fost dezvăluite, compania însăși a avut o cheie privată expusă ca urmare a încălcării, precum și „un număr mic de secrete utilizate intern la Cloudflare pentru autentificare”, spune Graham-Cumming.

Cloudflare a început să utilizeze cheia privată pentru a cripta conexiunile între propriile sale mașini, în urma scurgerilor fostului contractor al Agenției Naționale de Securitate, Edward Snowden, care descriu supravegherea guvernului global.

Alte informații care ar fi putut fi dezvăluite includ cookie-uri și informații de autentificare, cum ar fi cheile API și jetoanele OAuth.

Clienții Cloudflare au fost cel mai afectați în perioada 13 februarie – 18 februarie, scrie Graham-Cumming, menționând că una din 3,3 milioane de cereri HTTP care rulează prin Cloudflare ar putea duce la o scurgere de memorie.

Date amuzante, apoi Whoa

Primul indiciu al lui Ormandy a fost ceva greșit a venit pe 17 februarie, în timp ce lucra la un proiect care analizează seturi mari de date publice. Unele date pe care le-a întâlnit au fost la început un mister, scrie el, dar observă că nu este neobișnuit să întâlnim date malformate sau date despre gunoi.

„Am preluat câteva mostre live și am observat chei de criptare, cookie-uri, parole, bucăți de date POST și chiar solicitări HTTPS pentru alte site-uri găzduite în Cloudflare de la alți utilizatori”, scrie el. „Odată ce am înțeles ce vedeam și implicațiile, ne-am oprit imediat și am contactat securitatea Cloudflare”.

A fost o situație neobișnuită – și care a reprezentat o mare amenințare pentru informațiile de identificare personală. „Secundele au contat aici, e-mailurile de sprijin într-o seară de vineri nu aveau de gând să le reducă”, scrie el.

Ormandy a ajuns pentru prima dată la Cloudflare prin Twitter. După cum știe oricine din industria securității, dacă Ormandy vrea să ajungă urgent la tine, s-a întâmplat ceva rău . Dar remedierea daunelor presupunea mult mai mult decât simpla remediere a bug-ului în sine.

Operațiunea de curățare

Până pe 21 februarie, în timp ce Cloudflare încerca să spuleze datele vărsate care fuseseră indexate de motoarele de căutare precum Google, Yahoo și Bing, Ormandy spune că încă descoperă date sensibile noi care au fost scurse ca urmare a erorii de codare.

„Găsesc mesaje private de pe site-uri importante de întâlniri, mesaje complete de la un serviciu de chat bine cunoscut, date de gestionare a parolelor online, cadre de pe site-uri video pentru adulți, rezervări de hoteluri”, a spus el. „Vorbim de solicitări HTTPS complete, adrese IP ale clientului, răspunsuri complete, cookie-uri, parole, chei, date, totul”.

Acum, însă, Cloudflare spune că este încrezător că nu mai există date ascunse în cache. „Dezvăluim această problemă acum, deoarece suntem mulțumiți că cache-urile motoarelor de căutare au fost acum eliminate de informații sensibile”, scrie Graham-Cumming.

Toate acestea, Cloudflare raportează că a descoperit 770 identificatori unici de resurse uniforme, sau URI-uri, care conțin date din scurgerea de memorie, afectând 161 de domenii. Toate motoarele de căutare au eliminat acum conținutul, spune Graham-Cumming.

Ormandy, totuși, a contestat tonul postării pe blog a Cloudflare. Deși spune că este un postmortem excelent, el consideră că „reduce foarte mult riscul pentru clienți”.

Ai incredere in Cloudflare ? Trimite-ne parerea ta in sectiunea de comentarii



Sursa: Newsmag