Zgłoś błąd

X

Zanim wyślesz zgłoszenie, upewnij się że przyczyną problemów nie jest dodatek blokujący reklamy.

Typ zgłoszenia
Treść zgłoszenia
Twój email (opcjonalnie)
Nie wypełniaj tego pola
 
.
Załóż konto
EnglishDeutschРусскийFrançaisEspañol中国

Krytyczna luka w Cloudflare. Zagrożone dane użytkowników

Arkadiusz Bała | 24-02-2017 21:00 |

Krytyczna luka w Cloudflare. Zagrożone dane użytkownikówDo sieci trafiła dziś kolejna informacja z kategorii "niepokojące". Nawet "bardzo niepokojące". Okazało się bowiem, że oprogramowanie jednej z największych na świecie firm zajmujących się usługą dostarczania treści i serwerów nazw, Cloudflare, wykryto krytyczną lukę. W efekcie mogło dojść do wycieku danych użytkowników wszystkich jej klientów. Lista jest niestety długa. Można na niej znaleźć ponad 5 milionów pozycji. Niektóre z nich zaliczają się do grona najpopularniejszych serwisów w internecie. Śmiało można więc pokusić się o stwierdzenie, że ofiarą mógł tutaj paść potencjalnie każdy internauta, który od czasu pojawienia się luki 22 września 2016 r. miał okazję korzystać z internetu.

Zagrożenie spowodowane luką na Cloudflare jest o tyle poważne, że dotyka praktycznie wszystkich użytkowników internetu.

Opisywana luka występowała na bardzo niewielkiej (ok. 0,06%) stron obsługiwanych przez Cloudflare część tagów była uzupełniana danymi pochodzącymi z innych serwisów obsługiwanych przez firmę. W efekcie po odwiedzeniu strony można je było bez problemu odczytać zaglądając w źródło strony. Problem występował losowo i dotyczył ok. 0,00003% ruchu generowanego przez rzeczone strony. Najbardziej niepokojącej jest jednak to, że wstrzykiwane dane mogły pochodzić z dowolnej strony wykorzystującej Cloudflare, a tych jest ponad 5,5 miliona. Jakie informacje mogły w ten sposób wyciec? Praktycznie dowolne: adresy IP, dane logowania użytkowników, klucze szyfrujące, prywatne wiadomości itd. To tylko kilka przykładów.

Rządowa strona URPL zaraża odwiedzających szyfrując im dyski

Krytyczna luka w Cloudflare. Zagrożone dane użytkowników [2]

W tym miejscu pewnie każdy zadaje sobie pytanie jak duże jest ryzyko, że jego dane wyciekły, oraz czy mogły zostać wykorzystane przez niepowołane osoby? Co do pierwszej kwestii, to tutaj prawdopodobieństwo jest niestety bardzo wysokie. Co prawda teoretycznie jeśli ktoś nie korzystał z żadnej z zagrożonych stron od czasu pojawienia się luki (22 września 2016 r.), to może czuć się bezpiecznie. Po raz kolejny chciałbym jednak podkreślić, że mowa o ponad 5 milionach stron objętych ryzykiem. Na liście znajdują się bardzo popularne serwisy zagraniczne (m.in. OkCupid, Uber, FitBit, 1Password, 4chan, Feedly), ale także polskie (m.in. cda.pl, Fotka.pl, Chomikuj.pl, Kwejk czy AntyWeb). Lista jest tak długa, że jej dokładne zweryfikowanie graniczy z cudem (LINK). Co za tym idzie, bezpiecznie mogą czuć się tylko osoby, które przez ostatnie pół roku z internetem kontaktu nie miały. Z drugiej strony skala zjawiska oraz jego losowy charakter mogą działać na naszą korzyść, ponieważ w takim natłoku informacji ryzyko, że ktoś trafił akurat na nasze drażliwe dane, jest stosunkowo niewielkie. Jeszcze mniej prawdopodobne jest to, że byłby je w stanie skutecznie wykorzystać. To jednak nie znaczy, że można spać spokojnie, ponieważ taka szansa istnieje, a w związku z tym lepiej przezornie pozmieniać hasła.

Messenger - nie otwierajcie zdjęć z rozszerzeniem .svg!

Krytyczna luka w Cloudflare. Zagrożone dane użytkowników [1]

Na chwilę obecną lukę udało się skutecznie wyeliminować z Cloudflare, a prace nad usunięciem zcache'owanych stron z wyników popularnych wyszukiwarek internetowych są już zakończone. Miejmy nadzieję, że tym razem zakończy się tylko strachem, a cała sprawa nie będzie miała przykrych konsekwencji dla internautów. Jest to jednak kolejna sytuacja, która przypomina nam, że nawet w powszechnie stosowanych mechanizmach bezpieczeństwa opracowanych przez największych specjalistów branży mogą zdarzyć się luki, przez które osoby niepowołane dostaną się do naszych danych. Warto w związku z tym nie pokładać w nich bezgranicznej ufności i pamiętać o prostych zasadach, takich jak regularne zmienianie haseł czy korzystanie z dwustopniowej weryfikacji. To naprawdę nic nie kosztuje, a pozwala oszczędzić sobie stresu.

Źródło: Niebezpiecznik
24
Zgłoś błąd
Liczba komentarzy: 13

Komentarze:

x Wydawca serwisu PurePC.pl informuje, że na swoich stronach www stosuje pliki cookies (tzw. ciasteczka). Kliknij zgadzam się, aby ta informacja nie pojawiała się więcej. Kliknij polityka cookies, aby dowiedzieć się więcej, w tym jak zarządzać plikami cookies za pośrednictwem swojej przeglądarki.