Cloudflare は、私たち全員がアクセスする Web サイトを安全に保つ責任を負っているインターネット セキュリティの巨人の 1 つですが、それ自体が脆弱性の原因となっており、これに匹敵する可能性があります。ハートブリードバグさらに悪いことに、被害の全容はまだわかっていません。
これを早めに解決しましょう。パスワードを変更します。Uber、Ok Cupid、Yelp、Fitbit、Authy から始まります。しかし、サービスを利用しなくても満足しないでください。あるよサイトの長いリスト影響を受ける可能性があり、新しいものが追加される可能性があるため、常に注意してください。
この漏洩は「Cloudbleed」と呼ばれる脆弱性で、パスワードから出会い系サイトのプライベートメッセージ、ホテルの予約、その他の個人情報に至るまであらゆる情報が漏洩した。さらに恐ろしいことに、同社のサービスを利用していないがCloudflareユーザーが多数いるサイトでも、サーバー上のデータが侵害される可能性がある。
Cloudflareは状況を公式に発表した。ブログ投稿木曜日の夜、「バッファオーバーラン」を引き起こしたコーディング上のエラーが原因であり、「すぐに特定された」としている。 Cloudflareのソフトウェアはデータを安全に保存するように機能しますが、このバグにより、十分に安全ではない方法で一部のデータが誤って漏洩してしまいました。 Cloudflareはこの問題の修正に取り組んでいますが、問題は、Googleなどの検索エンジンがデータのバージョンをキャッシュすることが多く、そのためデータがまだそこにある可能性があることです。
マッシュ可能な光の速度
Google の Project Zero チームのメンバー、テイビス・オーマンディ、セキュリティ上の問題の疑いがあることに気づきましたGoogleのエッジネットワークしかし、先週金曜日にCloudflareに報告したところによると、漏洩は2016年9月22日に始まった可能性があるという。
ツイートは削除された可能性があります
危険にさらされている情報に関しては、オーマンディ氏は恐れる十分な理由があると感じています。 「私たちが見つけている例は非常にひどいものです...大手出会い系サイトからのプライベートメッセージ、有名なチャットサービスからの全メッセージ、オンラインパスワードマネージャーデータ、アダルトビデオサイトからのフレーム、ホテル予約を見つけています。」と彼は言いました。 「私たちは完全な https リクエスト、クライアント IP アドレス、完全な応答、Cookie、パスワード、キー、データ、その他すべてについて話しています。」
ツイートは削除された可能性があります
オーマンディ氏は自身のオンラインフォーラムで、この問題を解決するためにCloudflareと協力して費やした時間を詳しく説明し、漏えいした情報があったとしても、それを認識していないことを認めた。 「この問題が気づかれて悪用されたかどうかはわかりませんが、他のクローラーがデータを収集しており、ユーザーがコンテンツを保存またはキャッシュしていても、自分が何を持っているかに気づいていないことは確かです」とオーマンディ氏は述べた。書きました。
「この事件が起こるまで、インターネットの大部分が Cloudflare CDN の背後に存在していたとは知りませんでした。」