A CloudFlare szolgáltatásai egy apró bug miatt a létező legérzékenyebb adatokat szórták ki a netre, amelyeket a webes keresők még el is tároltak.

A CloudFare-nek már korábban is sikerült a hírfolyamok élére kapaszkodnia az olyan apró megingásokkal, mint például az év végi szökőmásodperc okozta, nem igazán jelentős szolgáltatás-kiesések. Néhány nappal ezelőtt azonban a tartalomkézbesítési hálózati (CDN) megoldásokban utazó amerikai vállalat akkorát perecelt, hogy az az eltelt rövid időben is már önálló néven, Cloudbleed-ként vonult be a katasztrofális adatbiztonsági incidensek rövid történetébe.

A CloudFlare szolgáltatásainak lényege, hogy a weboldalak forgalmát saját szerverein küldi át, és eközben különféle eszközökkel optimalizálja (értsd: gyorsítja) a forgalmat, nem beszélve az olyan biztonsági készségekről, mint amilyen mondjuk az elosztott szolgáltatásmegtagadási támadásokkal (DDoS) támadásokkal szembeni védelem. A CloudFlare jelenleg 5,5 millió oldalt szolgál ki világszerte, befektetői között ott találjuk a Microsoftot, a Google-t, a Qualcommot vagy a Baidut is.

Válogatás nélkül minden kiment a netre 

A most felfedezett memóriaszivárgás a beszámolók szerint nagyjából öt hónapja zajlik, bár a csúcsot csak az elmúlt héten érte el. A dolog érdemi része, hogy egy HTML parser banális kódhibája miatt a CloudFlare bizonyos funkciói alatt a biztonsági szerverek elkezdték különféle memóriacímekre kipakolni a legkülönbözőbb adatokat, HTTP válaszokban szórva szét a tulajdonképpen véletlenszerű memóriatartalmakat.

Ezzel a beszámolók alapján jelszavak, titkosítási kulcsok és más, hasonlóan érzékeny információ is nyilvánosságra kerültek, ráadásul a webes keresők cache-elték is a kikerült adatokat (a Google még nemrégiben is őrizte a nyomokat), így az elvi lehetőséghosszú idő óta megvolt azok begyűjtésére. A CloudFlare szakemberei eddig 770 egységes erőforrás-azonosító (URI) és több mint 160 domain kapcsán erősítették meg a szivárgást.

Fontos ügyfelek is érintettek lehetnek

Ez összességében annyit jelent, hogy több millió oldalletöltésből egyszer fordulhatott elő hasonló incidens (a lekérdezések 3 százezred százalékáról beszélünk), ami persze nem biztos, hogy teljesen megvigasztalja az érintetteket. Különösen, hogy ebben a pillanatban nem igazán lehet megállapítani, hogy kifejezetten érzékeny vagy teljesen jelentéktelen adatokról volt-e szó egy-egy esetben.

A Cloudbleed incidens olyan márkákat érint, mint a Uber, a Nasdaq, a Reddit vagy a Fitbit, sőt a Github egy meg nem erősített listát is közölt a Cloudbleed sújtotta domainekről. Bár az adatszivárgásokat kiváltó bugot a bejelentéseket követően nem sokkal megszüntették, az csak később fog kiderülni, hogy pontosan milyen adatok kerültek ki a világhálóra, és hogy ezt kihasználta-e valaki.

Biztonság

Így kell adatot törölni a GDPR szellemében

Nemzeti szinten eddig is szigorú rendelkezések vonatkoztak az érzékeny adatok megsemmisítésére, de az Európai Unió Általános Adatvédelmi Rendeletének hatályba lépése után senki sem kerülheti el az információtörlés folyamatos feladatát.
 
Hirdetés

Ezért vannak biztonságban személyes adataink a felhőben

Nyakunkon az új európai adatvédelmi rendelet bevezetésének határideje, ami minden, adatkezelést végző vállalatra vonatkozik. A felhőszolgáltatók azonban elébe mentek a GDPR-nak.

A GDPR miatt elvileg változik az adatok életciklusa, de a gyakorlatban nem feltétlenül. Aminek viszont kellene változnia, az a hazai szabályozás. Ezen a téren viszont nem állunk jól.

a melléklet támogatója az Aruba Cloud

A koncentrált erőforrások kockázatai is koncentráltan jelentkeznek. Az informatikai szolgáltatóknak, felhős cégeknek érdemes lenne körülnézniük a közműszolgáltatóknál, hogyan kezelik ezt a problémát.

Sikeremberektől is tanultak a CIO-k

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2018 Bitport.hu Média Kft. Minden jog fenntartva.