Будьте готові знову змінити всі свої паролі.
Величезний новий витік пам'яті від компанії веб-сервісів Cloudflare, можливо, залишив доступними дані з тисяч доменів, включаючи деякі дуже резонансні сайти. Cloudflare каже, що усунула проблему, яка була викликана помилкою, відомою як Cloudbleed, але не раніше, ніж конфіденційні дані користувачів були кешовані пошуковими системами.
Аналітики безпеки Google Тавіс Орманді виявили недолік безпеки. Детально про те, як Cloudbleed знайшли та виправили, можна прочитати довго повідомлення у блозі від Cloudflare.
Інформація про помилку Cloudbleed надійшла до Cloudflare 18 лютого. Компанія каже, що найбільший період впливу був з 13 по 18 лютого. За цей час приблизно один із кожних 3,3 млн запитів HTTP через Cloudflare призвів до витоку пам’яті. В результаті хакерам були доступні файли cookie HTTP, маркери автентифікації, тіла HTTP POST та інші конфіденційні дані.
Що для вас означає Cloudbleed?
Потрібно ще багато інформації про Cloudbleed, яку слід переглянути, але, схоже, більше 4 мільйонів доменів опинилися під загрозою. Офіційного списку постраждалих веб -сайтів поки не надано.
Користувач на GitHub склав список усі сайти, які використовують DNS -сервери Cloudflare. Ця особа попереджає, що те, що домен є у списку, не означає, що сайт був скомпрометований. І сайти, яких немає у списку, можуть бути скомпрометовані.
Деякі з найбільш помітних доменів, які могли бути вразливими, це: Patreon.com, Medium.com, 4chan.com, Yelp.com, Zendesk.com, Uber.com, thePirateBay.org, pastebin.com, petapixel.com, feedly.com та change.org.
Оскільки мільйони веб -сайтів використовують послуги Cloudflare, можливо, ви захочете змінити свої паролі для всього. Навіть якщо вам байдуже, чи хакери отримують доступ до даних з одного з веб -сайтів, яких це стосується, вони можуть використовувати цю інформацію для доступу до інших служб.
Cloudflare каже, що кеші пошукових систем були очищені від будь -яких конфіденційних даних. Не було виявлено жодних доказів шкідливих подвигів у результаті помилки. Але вам, ймовірно, все одно слід змінити паролі, щоб бути в безпеці.