Сервис Cloudflare полгода сливал данные пользователей в открытый доступ

Среди клиентов сервиса — Uber, 1Password и «Авито»

26.02.2017 14:45
МОЁ! Online
0

Читать все комментарии

Добавить в закладки

Удалить из закладок

Войдите, чтобы добавить в закладки

23 февраля крупнейшая сеть доставки контента Cloudflare объявила о том, что их сервер, который должен защищать сайты, неисправен — он передаёт информацию о пользователях в открытом виде. Данные мог получить любой, кто знал об уязвимости. По счастливой случайности изъян в сервисе обнаружил не злоумышленник, а специалист по безопасности из Google.

Сервис Cloudflare существует с 2009 года и, как написано у них на сайте, «заставляет интернет работать так, как он должен». То есть это посредник между сайтом и пользователем. Многие функции этого сервиса бесплатны и доступны для владельцев небольших сайтов, но у компании есть и очень крупные клиенты: Uber, сервис хранения паролей 1Password и сайт с объявлениями «Авито». Cloudflare занимается защитой всех данных, проходящих через его сеть, и гарантирует их конфиденциальность. Вернее, должен был гарантировать.

В течение пяти с лишним месяцев на сервисе была утечка данных. Как выяснил специалист по сетевой безопасности, при обычном обращении к определённой странице в сети сервис отдавал не только запрашиваемые данные, но и часть данных какого-либо другого сервиса. Среди них были и сведения об авторизации и персональные данные пользователей. Cloudflare повезло, что о такой возможности первым узнал специалист по безопасности, а не какой-нибудь злоумышленник.

Сейчас уязвимость сервиса устранили, но сотрудники Cloudflare не знают, какие именно данные попали в открытый доступ и смог ли кто-нибудь их найти. Они надеются, что злоумышленники за эти полгода не успели воспользоваться возможностью, потому что не знали о ней.

Специалисты уже собрали список крупнейших сайтов, которые работали с Cloudflare и могли быть подвержены утечке данных. Наиболее важный из них, сервис хранения паролей 1Password, уже заявил, что данные его пользователей все время находились в безопасности — компания использует более сложные системы защиты. В «Авито» также заявили, что ущерб их пользователям не нанесён. В списке сайтов, чьи данные все же могли попасть в открытый доступ, есть, помимо Uber, блог-сервис Medium, торрент-трекер The Pirate Bay, сайт 4pda.ru и многие другие. Если у вас была учетная запись на одном из этих сайтов, лучше сменить пароль.

Подписывайтесь на «МОЁ! Белгород» в Яндекс.Новости и на наш канал в Дзене. Cледите за главными новостями Белгорода и области в Telegram-канале и в группе во «ВКонтакте».

Новости других СМИ