A CloudFlare szolgáltatásai egy apró bug miatt a létező legérzékenyebb adatokat szórták ki a netre, amelyeket a webes keresők még el is tároltak.
Hirdetés
 

A CloudFare-nek már korábban is sikerült a hírfolyamok élére kapaszkodnia az olyan apró megingásokkal, mint például az év végi szökőmásodperc okozta, nem igazán jelentős szolgáltatás-kiesések. Néhány nappal ezelőtt azonban a tartalomkézbesítési hálózati (CDN) megoldásokban utazó amerikai vállalat akkorát perecelt, hogy az az eltelt rövid időben is már önálló néven, Cloudbleed-ként vonult be a katasztrofális adatbiztonsági incidensek rövid történetébe.

A CloudFlare szolgáltatásainak lényege, hogy a weboldalak forgalmát saját szerverein küldi át, és eközben különféle eszközökkel optimalizálja (értsd: gyorsítja) a forgalmat, nem beszélve az olyan biztonsági készségekről, mint amilyen mondjuk az elosztott szolgáltatásmegtagadási támadásokkal (DDoS) támadásokkal szembeni védelem. A CloudFlare jelenleg 5,5 millió oldalt szolgál ki világszerte, befektetői között ott találjuk a Microsoftot, a Google-t, a Qualcommot vagy a Baidut is.

Válogatás nélkül minden kiment a netre 

A most felfedezett memóriaszivárgás a beszámolók szerint nagyjából öt hónapja zajlik, bár a csúcsot csak az elmúlt héten érte el. A dolog érdemi része, hogy egy HTML parser banális kódhibája miatt a CloudFlare bizonyos funkciói alatt a biztonsági szerverek elkezdték különféle memóriacímekre kipakolni a legkülönbözőbb adatokat, HTTP válaszokban szórva szét a tulajdonképpen véletlenszerű memóriatartalmakat.

Ezzel a beszámolók alapján jelszavak, titkosítási kulcsok és más, hasonlóan érzékeny információ is nyilvánosságra kerültek, ráadásul a webes keresők cache-elték is a kikerült adatokat (a Google még nemrégiben is őrizte a nyomokat), így az elvi lehetőséghosszú idő óta megvolt azok begyűjtésére. A CloudFlare szakemberei eddig 770 egységes erőforrás-azonosító (URI) és több mint 160 domain kapcsán erősítették meg a szivárgást.

Fontos ügyfelek is érintettek lehetnek

Ez összességében annyit jelent, hogy több millió oldalletöltésből egyszer fordulhatott elő hasonló incidens (a lekérdezések 3 százezred százalékáról beszélünk), ami persze nem biztos, hogy teljesen megvigasztalja az érintetteket. Különösen, hogy ebben a pillanatban nem igazán lehet megállapítani, hogy kifejezetten érzékeny vagy teljesen jelentéktelen adatokról volt-e szó egy-egy esetben.

A Cloudbleed incidens olyan márkákat érint, mint a Uber, a Nasdaq, a Reddit vagy a Fitbit, sőt a Github egy meg nem erősített listát is közölt a Cloudbleed sújtotta domainekről. Bár az adatszivárgásokat kiváltó bugot a bejelentéseket követően nem sokkal megszüntették, az csak később fog kiderülni, hogy pontosan milyen adatok kerültek ki a világhálóra, és hogy ezt kihasználta-e valaki.

Biztonság

Megjöttek Androidra az első telepítés nélkül futtatható appok

A Google már tavaly beígérte, mostanra megvalósította. Elindult az Instant App, de egyelőre csak néhány alkalmazást lehet telepítés nélkül kipróbálni.
 
Hirdetés

Megújult a First Class csomag – uniós adatroaming akár 70 gigabájtig

A változtatásokkal az elsősorban üzleti ügyfelek igényeire szabott ajánlat még rugalmasabb, miközben a prémium jellege is megmarad.

A technológiai fejlődés jó, csak épp még az adatvédelmi kockázatok is nőnek vele. A vállalatoknak pedig ezzel kell valamit kezdeni a változó adatkezelési szabályozás miatt. Összegyűjtöttük, mire kell figyelni.

a melléklet támogatója az Aruba Cloud

Hirdetés

A CISPE adatvédelmi magatartási kódex szerint szolgáltat az Aruba

Az Aruba Cloud minden felhőszolgáltatása megfelel azoknak az előírásoknak, amelyeket az európai felhőinfrastruktúra-szolgáltatók szakmai szövetsége adatvédelmi magatartási kódexében rögzített.

A koncentrált erőforrások kockázatai is koncentráltan jelentkeznek. Az informatikai szolgáltatóknak, felhős cégeknek érdemes lenne körülnézniük a közműszolgáltatóknál, hogyan kezelik ezt a problémát.

Sikeremberektől is tanultak a CIO-k

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2017 Bitport.hu Média Kft. Minden jog fenntartva.