Pasiruoškite dar kartą pakeisti visus slaptažodžius.
Dėl didžiulės naujos atminties nutekėjimo iš interneto paslaugų bendrovės „Cloudflare“ gali būti atskleisti duomenys iš tūkstančių domenų, įskaitant kai kurias labai aukšto lygio svetaines. „Cloudflare“ teigia, kad išsprendė problemą, kurią sukėlė klaida, žinoma kaip „Cloudbleed“, bet ne anksčiau, nei paieškos varikliai išsaugojo slaptus vartotojų duomenis.
„Google“ saugumo analitikas Tavisas Ormandy aptiko saugumo trūkumą. Išsamią informaciją apie tai, kaip „Cloudbleed“ buvo rasta ir pataisyta, galima perskaityti ilgai „Cloudflare“ tinklaraščio įrašas.
Informacija apie „Cloudbleed“ klaidą „Cloudflare“ buvo pranešta vasario 18 d. Bendrovė teigia, kad didžiausias poveikio laikotarpis buvo nuo vasario 13 iki vasario 18 dienos. Per tą laiką maždaug vienas iš 3,3 milijono HTTP užklausų per „Cloudflare“ sukėlė atminties nutekėjimą. Dėl to įsilaužėliams buvo prieinami HTTP slapukai, autentifikavimo žetonai, HTTP POST kūnai ir kiti slapti duomenys.
Ką jums reiškia „Cloudbleed“?
„Cloudbleed“ vis dar yra daug informacijos, tačiau panašu, kad rizikuojama daugiau nei 4 milijonams domenų. Oficialus paveiktų svetainių sąrašas dar nebuvo pateiktas.
„GitHub“ naudotojas sudarė sąrašą visos svetainės, kuriose naudojami „Cloudflare“ DNS serveriai. Asmuo įspėja, kad vien todėl, kad sąraše yra domenas, dar nereiškia, kad svetainė buvo pažeista. Svetainės, kurios nėra sąraše, gali būti pažeistos.
Kai kurie iš labiausiai pastebimų domenų, kurie galėjo būti pažeidžiami, yra šie: Patreon.com, Medium.com, 4chan.com, Yelp.com, Zendesk.com, Uber.com, thePirateBay.org, pastebin.com, petapixel.com, feedly.com ir change.org.
Kadangi milijonai svetainių naudoja „Cloudflare“ paslaugas, galbūt norėsite pakeisti slaptažodžius. Net jei jums nerūpi, ar įsilaužėliai turi prieigą prie vienos iš paveiktų svetainių duomenų, jie gali naudoti šią informaciją norėdami pasiekti kitas paslaugas.
„Cloudflare“ teigia, kad paieškos variklio talpyklos buvo išvalytos nuo bet kokių neskelbtinų duomenų. Nebuvo rasta jokių įrodymų apie kenkėjišką išnaudojimą dėl klaidos. Bet tikriausiai vis tiek turėtumėte pakeisti slaptažodžius, kad būtumėte saugūs.