A CloudFlare szolgáltatásai egy apró bug miatt a létező legérzékenyebb adatokat szórták ki a netre, amelyeket a webes keresők még el is tároltak.
Hirdetés
 

A CloudFare-nek már korábban is sikerült a hírfolyamok élére kapaszkodnia az olyan apró megingásokkal, mint például az év végi szökőmásodperc okozta, nem igazán jelentős szolgáltatás-kiesések. Néhány nappal ezelőtt azonban a tartalomkézbesítési hálózati (CDN) megoldásokban utazó amerikai vállalat akkorát perecelt, hogy az az eltelt rövid időben is már önálló néven, Cloudbleed-ként vonult be a katasztrofális adatbiztonsági incidensek rövid történetébe.

A CloudFlare szolgáltatásainak lényege, hogy a weboldalak forgalmát saját szerverein küldi át, és eközben különféle eszközökkel optimalizálja (értsd: gyorsítja) a forgalmat, nem beszélve az olyan biztonsági készségekről, mint amilyen mondjuk az elosztott szolgáltatásmegtagadási támadásokkal (DDoS) támadásokkal szembeni védelem. A CloudFlare jelenleg 5,5 millió oldalt szolgál ki világszerte, befektetői között ott találjuk a Microsoftot, a Google-t, a Qualcommot vagy a Baidut is.

Válogatás nélkül minden kiment a netre 

A most felfedezett memóriaszivárgás a beszámolók szerint nagyjából öt hónapja zajlik, bár a csúcsot csak az elmúlt héten érte el. A dolog érdemi része, hogy egy HTML parser banális kódhibája miatt a CloudFlare bizonyos funkciói alatt a biztonsági szerverek elkezdték különféle memóriacímekre kipakolni a legkülönbözőbb adatokat, HTTP válaszokban szórva szét a tulajdonképpen véletlenszerű memóriatartalmakat.

Ezzel a beszámolók alapján jelszavak, titkosítási kulcsok és más, hasonlóan érzékeny információ is nyilvánosságra kerültek, ráadásul a webes keresők cache-elték is a kikerült adatokat (a Google még nemrégiben is őrizte a nyomokat), így az elvi lehetőséghosszú idő óta megvolt azok begyűjtésére. A CloudFlare szakemberei eddig 770 egységes erőforrás-azonosító (URI) és több mint 160 domain kapcsán erősítették meg a szivárgást.

Fontos ügyfelek is érintettek lehetnek

Ez összességében annyit jelent, hogy több millió oldalletöltésből egyszer fordulhatott elő hasonló incidens (a lekérdezések 3 százezred százalékáról beszélünk), ami persze nem biztos, hogy teljesen megvigasztalja az érintetteket. Különösen, hogy ebben a pillanatban nem igazán lehet megállapítani, hogy kifejezetten érzékeny vagy teljesen jelentéktelen adatokról volt-e szó egy-egy esetben.

A Cloudbleed incidens olyan márkákat érint, mint a Uber, a Nasdaq, a Reddit vagy a Fitbit, sőt a Github egy meg nem erősített listát is közölt a Cloudbleed sújtotta domainekről. Bár az adatszivárgásokat kiváltó bugot a bejelentéseket követően nem sokkal megszüntették, az csak később fog kiderülni, hogy pontosan milyen adatok kerültek ki a világhálóra, és hogy ezt kihasználta-e valaki.

Biztonság

Elon Musk összekötné agyunkat számítógépeinkkel

Az amerikai vizionárius új cége ismét egy sci-fi témát váltana valóra.
 
A vállalatoknál telepített szoftverek közel harmada feleslegesen kerül fel a számítógépekre vagy kihasználatlan, ami szükségtelen költségeket és extra kockázatot jelent egy gyártói auditnál.

a melléklet támogatója a SoftwareONE

Hirdetés
A digitális átalakulás szép elv. De ha mindent az azonnali megtérülés és az IT-költségek csökkentése vezérel, akkor csak elv marad – súlyos valós következményekkel. Takács István Péter írása.

Az élethosszig tartó tanulás lesz a legfontosabb képességünk

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az IPR-Insights idén is megkérdezte a vállalatokat a tapasztalataikról. A válaszadók többsége több auditra készül, de magabiztosabban várja az auditort. Fábián László (IPR-Insights) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2016 Bitport.hu Média Kft. Minden jog fenntartva.