Утечка памяти Cloudflare раскрывает личные данные

Cloudflare , сеть распространения контента, используемая многими популярными сайтами, опубликовала подробную информацию об уязвимости в системе безопасности, из-за которой произошла утечка пользовательской информации, часть которой была частной, включая пароли, личные сообщения и т. д. Уязвимость была обнаружена исследователем безопасности Тэвисом Орманди , членом из команды Google Project Zero .

Проблема связана с утечкой памяти в анализаторе HTML с именем cf-html, который был создан для замены более старого анализатора, основанного на Ragel.

«Оказалось, что основная ошибка, вызвавшая утечку памяти, присутствовала в нашем синтаксическом анализаторе на основе Ragel в течение многих лет, но утечки памяти не было из-за того, как использовались внутренние буферы NGINX», — Джон Грэм-Камминг, главный технический директор . в Cloudflare сказал. «Внедрение cf-html немного изменило буферизацию, что позволило осуществить утечку, хотя в самом cf-html проблем не было».

Самая ранняя дата утечки — 22 сентября 2016 года, когда была включена автоматическая перезапись HTTP . Это была первая из трех введенных функций, использующих синтаксический анализатор. Два других — это обфускация электронной почты и исключения на стороне сервера .

Наибольший период воздействия был между 13 февраля и 17 февраля. Утечка информации оказалась на общедоступных кэшированных веб-страницах. Cloudflare работала с основными поставщиками поисковых систем, чтобы очистить кешированные страницы, прежде чем публично объявить подробности ошибки.

«С помощью Google, Yahoo, Bing и других мы обнаружили 770 уникальных URI, которые были кэшированы и содержали утечку памяти», — сказал Грэм-Камминг. «Эти 770 уникальных URI охватывают 161 уникальный домен. Утечка памяти была очищена с помощью поисковых систем. Мы также предприняли другие поисковые экспедиции в поисках потенциальной утечки информации на таких сайтах, как Pastebin, и ничего не нашли».

1Password не затрагивается

В более ранних отчетах указывалось, что 1Password был среди затронутых сайтов. Джеффри Голдберг, сотрудник 1Password, заверил пользователей , что утечка данных Cloudflare не влияет на 1Password.

«На данный момент мы хотим заверить и напомнить всем, что мы разработали 1Password с расчетом на то, что SSL/TLS может дать сбой», — сказал Голдберг. «Действительно, именно для таких инцидентов мы специально создали этот дизайн».

«Никакие секреты не передаются между клиентами 1Password и 1Password.com, когда вы входите в систему и используете сервис. Наш вход в систему использует SRP , что означает, что сервер и клиент подтверждают свою личность друг другу, не передавая никаких секретов. Это означает, что пользователям 1Password не нужно менять свои мастер-пароли».

Измените свои пароли

Ник Свитинг использовал несколько парсеров для составления списка сайтов, использующих Cloudflare. Список доступен на GitHub и в настоящее время содержит 4 287 625 доменов, которые могут быть затронуты. Популярные домены в списке включают:

• authy.com
• coinbase.com
• digitalocean.com
• patreon.com
• bitpay.com
• новости.ycombinator.com
• producthunt.com
• Medium.com
• 4chan.org
• yelp.com
• okcupid.com

Ошибка также затрагивает мобильные приложения, поскольку данные заголовков HTTP для таких приложений, как Discord, FitBit и Uber, были обнаружены в кэшах поисковых систем. NowSecure опубликовал список , в который вошли 200 приложений для iOS, использующих сервисы Cloudflare.

Пользователям настоятельно рекомендуется менять свои пароли независимо от того, использует сайт Cloudflare или нет. Тем, кто использует Cloudflare, следует сгенерировать новые ключи API и рассмотреть возможность принудительной смены пароля пользователями.

По возможности следует включить двухфакторную аутентификацию, чтобы пароль не был единственным удостоверением, необходимым для доступа к учетной записи. Мобильные пользователи должны выйти из мобильных приложений и снова войти в систему, чтобы создать новый активный токен. Чтобы заставить всех пользователей на сайте WordPress выйти из системы и повторно войти в систему, WPStudio рекомендует изменить солевые ключи в wp-config.php.

Хотя основные поисковые системы активно очищают кешированные страницы, утечки происходят уже как минимум четыре месяца. Неизвестно, кто мог уже очистить эти страницы и заархивировать данные. Также существует вероятность того, что кто-то обнаружил уязвимость до Орманди и уже несколько месяцев анализирует кэшированные страницы. Вот почему важно, чтобы вы как минимум меняли свои пароли.