Adam Clark Estes41 Minuten agoFiled: Cloudbleed
- Hacker
- Hacking
- Cloudflare
- Sicherheit
5
- Gehen Sie zu permalink
Bild: Gizmodo
Große Sicherheit, Naturkatastrophen, wie Cloudbleed sind nie lustig. Jedoch, da mehr Informationen über die neu gemeldete Sicherheitsanfälligkeit verfügbar ist, können wir verstehen, wie gefährlich Fehler stehen zu versauen das internet. Zum Glück, im Fall von Cloudbleed, es ist nicht so schlimm, wie es gewesen sein könnte. Aber es ist nicht gut, entweder.
Werbung
Cloudbleed, wenn Sie nicht gehört hatte, ist eine bedeutende Schwachstelle, die potenziell betroffen sind Millionen von websites serviert von Cloudflare, ein Sicherheits-und performance-service. Ein winziger Fehler in Cloudflare-code führte zu einer unbestimmten Menge von Daten, einschließlich Verschlüsselungsschlüssel, chat-Protokolle, cookies und Passwörter—Sie werden durchgesickert auf das offene web und in den Cache von Suchmaschinen wie Google. Cloudflare-Kunden sind Massiv websites wie Uber, OKCupid, und Fitbit, was bedeutet, dass eine enorme Anzahl der Nutzer finden sich in der unglücklichen Lage, nicht zu wissen, wie viel (wenn überhaupt) von Ihren persönlichen Daten gefährdet.
Das nervt. Cloudflare ist co-Gründer und CEO Matthew Prince sagte so viel in einem interview mit Gizmodo am Freitag. “Das ist eine große Sache für uns,” Prince sagte. “Das ist ein wirklich schlechter Fehler. Dies ist etwas, das unsere Kunden sehr bewusst und sollten sehr ernst nehmen.”
Dies ist jedoch, wo Prinz behauptet, es ist ein bisschen eine helle Seite für den Endbenutzer. Laut Cloudflare, die meisten der websites, die anfällig für Fehler waren selten befahrenen “vergessen WordPress-blogs.” Prinz behauptet, dass nur 3.500 domains endete als gefährdet auf der Höhe der Heartbleed fuckup, und denen, die nur durchgesickerten Informationen in einer ganz bestimmten Situation mit kaputten HTML-tags. Prinz sagt auch, dass 90 Prozent des Verkehrs auf diesen Webseiten kam aus Quellen wie Google, die waren einfach der Indizierung der Seiten.
Google crawl detail ist, was macht Cloudbleed besonders beängstigend. Die Daten barfed auf Seiten von Cloudflare Fehler enthält snippets von privaten chats und Bilder aus videos beobachtet von Menschen zufällig. Prinz zugelassen so viel. Die Tatsache, dass eine ungezählte Anzahl von Suchmaschinen gespeicherten privaten Daten scheint irritierend. Mehr irritierend ist die Tatsache, dass wir nicht wissen, wie viel Daten bleiben in der wildnis und wie viel Cloudflare konnten nuke mit der Zusammenarbeit von Suchmaschinen.
Prinz sagt, dass das Leck gestoppt wurde nur 44 Minuten nach der Google-Sicherheitsexperte Tavis Ormandy benannte sich das Unternehmen von der Sicherheitsanfälligkeit über Twitter. “Sieben Stunden nach diesem tweet, würden wir komplett gepatcht unser system von undichten Daten,” Prinz sagte Gizmodo. Die Gesellschaft ist weiterhin arbeiten mit Suchmaschinen, löschen der gespeicherten Daten in Suchmaschinen-caches.
Gesponsert
Noch Cloudflare war nicht in der Lage zu quantifizieren, wie viel Daten durchgesickert. Prinz wollte sagen, dass 150 Cloudflare-Kunden (Lesen Sie: 150 websites oder Dienste) erlitt Lecks. Prinz behauptet auch, dass es keine erkennbaren Aufwärtstrend in den Anforderungen an Cloudflare betriebene Webseiten, die von September letzten Jahres, wenn die undicht begann, bis heute. Das bedeutet, dass das Unternehmen Recht zuversichtlich, dass Hacker nicht die Schwachstelle entdecken, bevor die Google-Forscher hat.
Ryan Lackey, ein security-Unternehmer und ehemalige Cloudflare-Mitarbeiter, wurde für die Sicherheitsanfälligkeit, da es öffentlich wurde. In einem interview mit Gizmodo, Lakai sagte, dass Cloudbleed ist beängstigend für die Entdeckung, wie kleine Fehler können große Probleme verursachen. Darüber hinaus gibt es größere Bedrohungen gibt.
Werbung
Werbung
“Ich glaube nicht, das ist jedermanns höchstes Risiko oder höchste Exposition,” Lakai sagte Gizmodo unter Berufung auf weitere gemeinsame Cyber-Attacken wie phishing, da Sie eher gefährlich. “Die chance, diese Auswirkungen auf einen einzelnen Kunden ist ziemlich gering.”
Das klingt wie eine gute Nachricht. Wer will, um sicherzustellen, dass Ihre Daten vollständig sicher ist, sollte sein Passwort ändern und aktivieren der zwei-Faktor-Authentifizierung. Das ist mehr eine philosophische Reaktion auf Sicherheitsrisiken. Aber Lakai ging auf zu erklären, dass Cloudflare erreichen, kombiniert mit dieser neu entdeckte Sicherheitslücke zeigt, dass ein aggressiver auszunutzen, effektiv bringt das internet zum Stillstand.
“Das ist der kleinste Kompromiss von Cloudflare,” Lakai sagte. “Ein moderater Kompromiss von Cloudflare könnte ein internet-bedrohlich.”
Werbung
Also auf der hellen Seite, laut Cloudflare-Chef und ein ehemaliger Cloudflare-Mitarbeiter, die meisten Benutzer sind wohl in Ordnung. Besorgte Nutzer sollten Ihre Passwörter ändern, das ist wirklich eine tolle Sache zu tun, von Zeit zu Zeit, unabhängig davon, von Bedrohungen der Sicherheit. Dann wieder, Cloudbleed illustriert ein größeres problem mit der internet-Sicherheit. Wenn ein großer Spieler bekommt pwned, können die Folgen katastrophal sein.
Wie es scheint, Cloudbleed ist eher ein Warnschuss, dass ein Todesstoß. Das ist die gute Nachricht. Aber die schlechte Nachricht ist, dass der Vorfall schlägt vor, internet-Nutzer sollten wachsamer zu sein als je zuvor, wenn es um den Schutz Ihrer persönlichen Daten. Manchmal, in großen Unternehmen wie Cloudflare fuck up. Der beste Weg, um zu vermeiden, ein Opfer in diesen Fällen ist zu beobachten, Ihren eigenen Arsch.
Verwenden Sie eine gute, sichere Passwörter. (Hier ist eine gute Strategie zu erzeugen.) Verwenden Sie die zwei-Faktor-Authentifizierung. Und wenn alle Stricke reißen, beten.