Tavis Ormandy – osoba zajmująca się bezpieczeństwem w firmie Google – poinformował o luce w zabezpieczeniach Cloudflare. Z usług tego dostawcy CDN i DNS korzysta obecnie 5,5 miliona serwisów internetowych, takich jak Uber, FitBit czy 1Password.

Strona 1 z 2

Luka w zabezpieczeniach Cloudflare pojawiła się już 22 września ubiegłego roku, ale dopiero wczoraj została odkryta. Przez ten czas z serwerów sukcesywnie wyciekały rozmaite dane klientów wielu serwisów – hasła, wiadomości, zdjęcia, adresy IP, klucze szyfrujące, imiona oraz nazwiska itd.

Ze względu na specyfikę błędu, dane zostały zapisane przez rozmaite roboty indeksujące wyszukiwarek internetowych. Google już teraz rozpoczęło proces czyszczenia ich ze swoich serwerów, ale istnieje duże prawdopodobieństwo, że przed Tavisem Ormandym niepożądane osoby uzyskały do nich dostęp. Cloudflare rozpoczęło już pracę nad wyeliminowaniem problemu i zabezpieczeniem luki.

Jak już wspominałem wyżej, z usług Cloudflare korzystała firma AgileBits – twórcy programu 1Password. Użytkownicy tej aplikacji nie mają jednak powodu do obaw, a wszystko za sprawą zastosowania trzech warstw szyfrowania, które chronią newralgiczne dane.

Jeffrey Goldberg z AgileBits poinformował, że dane gromadzone przez 1Password pozostały bezpieczne mimo problemów z Cloudflare. Są one bowiem chronione przez trzy warstwy szyfrowania – SSL/TLS, autorską warstwę wykorzystującą protokół SRP oraz hasło Master ustalone przez użytkownika.

Z listą wszystkich serwisów, których dane mogły zostać narażone za sprawą luki w zabezpieczeniach Cloudflare można zaznajomić się na następnej stronie artykułu. Szczegółowe informacje na temat wycieku zostały opisane przez serwis Niebezpiecznik.pl.

Źródła: Niebezpiecznik.pl, AgileBits