Pripravte sa znova zmeniť všetky svoje heslá.
Obrovský nový únik pamäte od spoločnosti Cloudflare poskytujúcej webové služby mohol nechať vystavené údaje z tisícov domén, vrátane niektorých veľmi známych stránok. Cloudflare hovorí, že vyriešil problém, ktorý bol spôsobený chybou známou ako Cloudbleed, ale nie skôr, ako sa citlivé údaje používateľov uložia do vyrovnávacej pamäte vyhľadávačov.
Bezpečnostní analytici spoločnosti Google Tavis Ormandy zistili bezpečnostnú chybu. Podrobnosti o tom, ako bol Cloudbleed nájdený a opravený, je možné čítať dlho blogový príspevok od Cloudflare.
Informácie o chybe Cloudbleed boli nahlásené službe Cloudflare 18. februára. Spoločnosť uvádza, že najväčšie obdobie vplyvu bolo od 13. februára do 18. februára. Za ten čas zhruba jeden z 3,3 milióna požiadaviek HTTP prostredníctvom služby Cloudflare spôsobil únik pamäte. Výsledkom bolo, že hackeri mali k dispozícii súbory cookie HTTP, autentifikačné tokeny, telá HTTP POST a ďalšie citlivé údaje.
Čo pre vás znamená Cloudbleed?
O Cloudbleed je stále veľa informácií, ktoré je potrebné preskúmať, ale zdá sa, že ohrozené sú viac ako 4 milióny domén. Oficiálny zoznam dotknutých webových stránok zatiaľ nebol poskytnutý.
Používateľ na GitHub zostavil zoznam všetky stránky, ktoré používajú servery DNS spoločnosti Cloudflare. Osoba varuje, že to, že je doména v zozname, neznamená, že bola stránka napadnutá. A stránky, ktoré nie sú uvedené v zozname, môžu byť ohrozené.
Niektoré z najpozoruhodnejších domén, ktoré mohli byť zraniteľné, sú: Patreon.com, Medium.com, 4chan.com, Yelp.com, Zendesk.com, Uber.com, thePirateBay.org, pastebin.com, petapixel.com, feedly.com a change.org.
Pretože milióny webových stránok používajú služby Cloudflare, možno budete chcieť zmeniť svoje heslá pre všetko. Aj keď vám nie je jedno, či hackeri pristupujú k údajom z jednej z príslušných webových stránok, tieto informácie môžu použiť na prístup k iným službám.
Cloudflare hovorí, že medzipamäte vyhľadávacích nástrojov boli vymazané z akýchkoľvek citlivých údajov. V dôsledku chyby neboli nájdené žiadne dôkazy o škodlivých útokoch. Ale pre istotu by ste pravdepodobne mali zmeniť svoje heslá.