`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

Колонка

Геннадий
Армашула
Трест, который лопнул

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

  
Главная » Новости

Дыра в сервисе CloudFlare поставила под угрозу более 5 млн сайтов

27 февраля 2017 г., 16:27
0 
 
Дыра в сервисе CloudFlare поставила под угрозу более 5 млн сайтов

CDN-сервис CloudFlare, оптимизирующего работу сайтов и защищающий их от DDoS-атак, сообщил об утечке данных своих пользователей. Это может быть одним из крупнейших инцидентов информационной безопасности в Интернете, так как CloudFlare является крупнейшим подобным сервисом, обслуживающим более 5 млн сайтов, включая Uber, 1Password, FitBit, OKCupid и другие.

Первоначально утечку данных обнаружил сотрудник Google Тэвис Орманди (Tavis Ormandy), который работал над собственным проектом с использованием публично доступных данных. Когда он начал получать наряду с необходимыми данными стороннюю информацию, он решил, что его код содержит ошибки, но оказалось, что сервис CloudFlare возвращал ему данные со своего обратного прокси-сервера. Когда эксперты Google детальнее изучили эти данные, оказалось, что сервис возвращает информацию других ресурсов, в том числе токены аутентификации, API-ключи, куки-файлы, пароли, данные кредитных карт и даже HTTPS-запросы.

Как удалось понять специалистам, сервис CloudFlare допускал утечку данных из памяти, если через него обращались к html-страницам с определенным набором и последовательностью тэгов. Учитывая, что обратные прокси-серверы CloudFlare делятся между пользователями, то эта проблема должна была затронуть их всех.

Тэвис Орманди связался с разработчиками сервиса, которые провели свое расследование, подтвердили опасения и отключили затронутые службы. Как сообщается, дыра в CDN возникла во время подключения сервиса Accelerated Mobile Pages разработки Google. В итоге, все клиентские данные, прошедшие обработку CloudFlare в период с 22 сентября 2016 г. по 18 февраля 2017 г., даже если они проходили по зашифрованным соединениям, могли попасть в сторонние руки.

Пока неизвестно, попали ли какие-то данные в открытый доступ и воспользовался ли ими кто-нибудь. В CloudFlare сообщают, что злоумышленники не успели воспользоваться уязвимостью, потому что не знали о ней. Часть информации успела просочиться в кэш поисковых систем, поэтому представители CloudFlare обратились к ним и эти данные были удалены. Владельцам сайтов, которые использовали CloudFlare в указанные даты, рекомендуется запустить процедуру смены паролей пользователей и предупредить их о возможной утечке личных данных.

Стратегія охолодження ЦОД для епохи AI

0 
 

Напечатать Отправить другу

Читайте также

  

Ukraine

Останні обговорення

ТОП-новости

ТОП-блоги

ТОП-статьи

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT