Уразлівасць папулярнага сэрвісу Cloudflare прывяла да ўцечкі пароляў

• 25.02.2017, 10:22

Папулярны сэрвіс Cloudflare, які забяспечвае абарону сайтаў ад DDoS-нападаў, паведаміў пра выяўленні ўразлівасці.

Гэта прывяло да ўцечкі значнага аб'ёму асабістых звестак карыстальнікаў, уключаючы паролі, звесткі пра браніраванне гатэляў, паведамленні з сайтаў знаёмстваў і іншую інфармацыю. Падрабязнае апісанне ўразлівасці і яе наступстваў было апублікаванае ў блогу Cloudflare 23 лютага.

Як піша The Verge, 18 лютага на існаванне ўразлівасці ў сістэмах Cloudflare, якая ўзнікла яшчэ летась 22 верасня, звярнуў увагу Тэвіс Ормандзі, чалец каманды Google Project Zero, якая займаецца абаронай інтэрнэт-прасторы ад розных пагрозаў.

Эксперт высветліў, што пры звычайным звароце да пэўнай старонцы ў сетцы Cloudflare сэрвіс аддаваў не толькі запытаныя звесткі, але і частку персанальных звестак з якога-небудзь іншага сэрвісу, піша "Медуза". Такое адбывалася, калі тая ці іншая старонка з пункту гледжання аднаго з механізмаў Cloudflare была складзеная з памылкамі. Акрамя таго, праз уразлівасць некаторы аб'ём канфідэнцыйных звестак трапіў у адкрыты доступ, і гэтыя звесткі былі праіндэксаваныя інтэрнэт-пошукавікамі.

"Да гэтага інцыдэнту і не ўяўляў, якая значная частка інтэрнэту карыстаецца паслугамі Cloudflare. Гаворка ідзе пра поўныя https-запыты, IP-адрасы кліентаў, паролі, ключы, кукі, звесткі, пра ўсё", – напісаў Ормандзі ў блогу Google Project Zero.

Выявіўшы праблему Ормандзі праінфармаваў пра яе спецыялістаў Cloudflare, якія аператыўна выправілі памылку, а потым звязаліся з пошукавікамі, каб тыя выдалілі старонкі з канфідэнцыйнай інфармацыяй, якія трапілі ў кэш. Як сцвярджаюць прадстаўнікі сэрвісу, ім невядома пра выпадкі выкарыстання ўразлівасці зламыснікамі.

Кліентамі Cloudflare з'яўляюцца шматлікія буйныя сайты. Згодна з інфармацыяй, апублікаванай на рэсурсе GitHub, уразлівасць магла закрануць амаль 4,3 млн даменаў. Сярод найбольш значных з іх можна вылучыць блог-платформу Medium, іміджборд 4chan, торэнт-трэкер The Pirate Bay, сэрвіс таксі Uber, сайт знаёмстваў OKCupid, а таксама расейскі сайт пра смартфоны 4pda.ru. Карыстальнікам гэтых і іншых патэнцыйна закранутых рэсурсаў настойліва рэкамендуецца змяніць паролі ад уліковых запісаў.