Krytyczna luka w Cloudflare. Zagrożone dane użytkowników
Do sieci trafiła dziś kolejna informacja z kategorii "niepokojące". Nawet "bardzo niepokojące". Okazało się bowiem, że oprogramowanie jednej z największych na świecie firm zajmujących się usługą dostarczania treści i serwerów nazw, Cloudflare, wykryto krytyczną lukę. W efekcie mogło dojść do wycieku danych użytkowników wszystkich jej klientów. Lista jest niestety długa. Można na niej znaleźć ponad 5 milionów pozycji. Niektóre z nich zaliczają się do grona najpopularniejszych serwisów w internecie. Śmiało można więc pokusić się o stwierdzenie, że ofiarą mógł tutaj paść potencjalnie każdy internauta, który od czasu pojawienia się luki 22 września 2016 r. miał okazję korzystać z internetu.
Zagrożenie spowodowane luką na Cloudflare jest o tyle poważne, że dotyka praktycznie wszystkich użytkowników internetu.
Opisywana luka występowała na bardzo niewielkiej (ok. 0,06%) stron obsługiwanych przez Cloudflare część tagów była uzupełniana danymi pochodzącymi z innych serwisów obsługiwanych przez firmę. W efekcie po odwiedzeniu strony można je było bez problemu odczytać zaglądając w źródło strony. Problem występował losowo i dotyczył ok. 0,00003% ruchu generowanego przez rzeczone strony. Najbardziej niepokojącej jest jednak to, że wstrzykiwane dane mogły pochodzić z dowolnej strony wykorzystującej Cloudflare, a tych jest ponad 5,5 miliona. Jakie informacje mogły w ten sposób wyciec? Praktycznie dowolne: adresy IP, dane logowania użytkowników, klucze szyfrujące, prywatne wiadomości itd. To tylko kilka przykładów.
Rządowa strona URPL zaraża odwiedzających szyfrując im dyski
W tym miejscu pewnie każdy zadaje sobie pytanie jak duże jest ryzyko, że jego dane wyciekły, oraz czy mogły zostać wykorzystane przez niepowołane osoby? Co do pierwszej kwestii, to tutaj prawdopodobieństwo jest niestety bardzo wysokie. Co prawda teoretycznie jeśli ktoś nie korzystał z żadnej z zagrożonych stron od czasu pojawienia się luki (22 września 2016 r.), to może czuć się bezpiecznie. Po raz kolejny chciałbym jednak podkreślić, że mowa o ponad 5 milionach stron objętych ryzykiem. Na liście znajdują się bardzo popularne serwisy zagraniczne (m.in. OkCupid, Uber, FitBit, 1Password, 4chan, Feedly), ale także polskie (m.in. cda.pl, Fotka.pl, Chomikuj.pl, Kwejk czy AntyWeb). Lista jest tak długa, że jej dokładne zweryfikowanie graniczy z cudem (LINK). Co za tym idzie, bezpiecznie mogą czuć się tylko osoby, które przez ostatnie pół roku z internetem kontaktu nie miały. Z drugiej strony skala zjawiska oraz jego losowy charakter mogą działać na naszą korzyść, ponieważ w takim natłoku informacji ryzyko, że ktoś trafił akurat na nasze drażliwe dane, jest stosunkowo niewielkie. Jeszcze mniej prawdopodobne jest to, że byłby je w stanie skutecznie wykorzystać. To jednak nie znaczy, że można spać spokojnie, ponieważ taka szansa istnieje, a w związku z tym lepiej przezornie pozmieniać hasła.
Messenger - nie otwierajcie zdjęć z rozszerzeniem .svg!
Na chwilę obecną lukę udało się skutecznie wyeliminować z Cloudflare, a prace nad usunięciem zcache'owanych stron z wyników popularnych wyszukiwarek internetowych są już zakończone. Miejmy nadzieję, że tym razem zakończy się tylko strachem, a cała sprawa nie będzie miała przykrych konsekwencji dla internautów. Jest to jednak kolejna sytuacja, która przypomina nam, że nawet w powszechnie stosowanych mechanizmach bezpieczeństwa opracowanych przez największych specjalistów branży mogą zdarzyć się luki, przez które osoby niepowołane dostaną się do naszych danych. Warto w związku z tym nie pokładać w nich bezgranicznej ufności i pamiętać o prostych zasadach, takich jak regularne zmienianie haseł czy korzystanie z dwustopniowej weryfikacji. To naprawdę nic nie kosztuje, a pozwala oszczędzić sobie stresu.