Cloudbleed: co musisz wiedzieć i co musisz zrobić

Spisu treści:

Co powinienem zrobić
Zmień hasło do wszystkich swoich kont online
Włącz uwierzytelnianie dwuskładnikowe na każdym koncie, które jest dostępne jako opcja

17 lutego 2017 r. Badacz podatności z Google Project Zero Tavis Ormandy natknął się na coś, co wyglądało jak naprawdę paskudny wyciek danych z Cloudflare, firmy zajmującej się wydajnością i bezpieczeństwem sieci. Szybko skontaktował się z „właściwymi” ludźmi w Cloudflare, a sytuacja została rozwiązana w niecałą godzinę.

Każde naruszenie danych może być znaczące. Zwłaszcza, gdy usługa ma ponad miliard użytkowników. Przekierujemy Cię do raportu o incydencie w Cloudflare, gdzie znajdziesz pełne informacje o tym, co się wydarzyło (ostrzeżenie: to dość techniczne). W kategoriach laika wyciekły dane, które były potencjalnie wrażliwe. Te dane były dostępne dla każdego, nawet pająków internetowych używanych przez wyszukiwarki. Klucze SSL nie zostały wyciekły.

Funkcje Cloudflare, które korzystały z analizatora składni HTML, którego dotyczy problem (zaciemnianie wiadomości e-mail, wykluczenia po stronie serwera i automatyczne przepisywanie HTTPS) były używane przez wiele firm. Najprawdopodobniej firmy, z którymi masz konta internetowe, oznacza to, że Twoje dane mogły zostać ujawnione.

Mobile Nations korzysta z niektórych usług Cloudflare. W rzeczywistości znajdziesz nas na liście poruszającej się po witrynach, na które potencjalnie może mieć to wpływ. Sprawdziliśmy, że usługi, których dotyczy problem, nie są używane ani nigdy nie były używane w witrynach Mobile Nations.

Po badaniu funkcje #Cloudbleed (zaciemnianie wiadomości e-mail, SSE, przepisywanie HTTPS) nigdy nie były aktywne w witrynach @MobileNations
- Marcus Adolfsson (@madolfsson) 24 lutego 2017 r

Otrzymaliśmy również powiadomienie od Cloudflare o wycieku, który miał do powiedzenia:

Twoja domena nie jest jedną z domen, w których odkryliśmy ujawnione dane w zewnętrznych pamięciach podręcznych. Błąd został załatany, więc nie wyciekają już dane. Nadal jednak pracujemy z tymi pamięciami podręcznymi, aby przejrzeć ich rekordy i pomóc im w usunięciu odkrytych odkrytych danych. Jeśli podczas wyszukiwania wykryjemy wycieki danych o twoich domenach, skontaktujemy się z Tobą bezpośrednio i przekażemy Ci szczegółowe informacje o tym, co znaleźliśmy.

Poszukaj podobnego wyciągu z innych miejsc, w których masz konto, aby uzyskać informacje o twoich danych, które mogły zostać ujawnione.

Co powinienem zrobić

Jak większość dużych instancji bezpieczeństwa, nigdy nie poznamy pełnych szczegółów tego, co było i nie wyciekło. Możemy potwierdzić, że nie korzystamy z usług wymienionych jako podatne na zagrożenia, ale nie wiemy, jak mogło to wpłynąć na cokolwiek innego na serwerach Cloudflare. Każdy klient Cloudflare jest na tej samej łodzi.

Oznacza to, że nadszedł czas, abyś był proaktywny.

Zmień hasło do wszystkich swoich kont online

Tak, to do bani, ale wiesz, co więcej do bani? Poproś kogoś, aby uzyskał twoje dane i miał dostęp do rzeczy, do których nie chcesz, aby miał dostęp. Użyj menedżera haseł i pozwól mu tworzyć szalone hasła i zapamiętaj je, jeśli nie masz własnej procedury zarządzania hasłami. Jeśli nie korzystałeś z menedżera haseł w przeszłości, ale chciałeś go sprawdzić, teraz jest idealny moment.

Więcej: Najlepsze menedżery haseł dla Androida

Teraz jest także dobry moment, aby pamiętać, że powinieneś regularnie zmieniać hasła, co sprawia, że menedżer haseł jest koniecznością, jeśli masz wiele kont.

Włącz uwierzytelnianie dwuskładnikowe na każdym koncie, które jest dostępne jako opcja

Jeśli masz włączone uwierzytelnianie dwuskładnikowe, osoba z Twoimi danymi logowania nadal nie będzie mogła uzyskać dostępu do Twojego konta. Uwierzytelnianie dwuskładnikowe może czasem być kłopotem w tyłku, ale jest to najlepszy sposób na ochronę siebie, gdy dojdzie do naruszenia dużych zbiorów danych, takiego jak ten, który widzimy teraz.

Oto niektóre zasoby dotyczące uwierzytelniania dwuskładnikowego.