Популярный сервис Cloudflare, обеспечивающий защиту сайтов от DDoS-атак, сообщил об выявлении уязвимости, которая привела к утечке значительного объема личных данных пользователей, включая пароли, данные о бронировании отелей, сообщения с сайтов знакомств и другую информацию. Подробное описание уязвимости и ее последствий было опубликовано в блоге Cloudflare 23 февраля.
Как пишет The Verge, 18 февраля на существование уязвимости в системах Cloudflare, которая возникла еще 22 сентября прошлого года, обратил внимание Тэвис Орманди, член команды Google Project Zero, занимающейся защитой интернет-пространства от различных угроз.
Эксперт выяснил, что при обычном обращении к определенной странице в сети Cloudflare сервис отдавал не только запрашиваемые данные, но и часть персональных данных с какого-нибудь другого сервиса, пишет "Медуза". Такое происходило, когда та или иная страница с точки зрения одного из механизмов Cloudflare была составлена с ошибками. Кроме того, из-за уязвимости некоторый объем конфиденциальных данных попал в открытый доступ, и эти сведения были проиндексированы интернет-поисковиками.
"До этого инцидента и не представлял, какая значительная часть интернета пользуется услугами Cloudflare. Речь идет о полных http-запросах, IP-адресах клиентов, паролях, ключах, куках, данных, обо всем", – написал Орманди в блоге Google Project Zero.
Обнаружив проблему Орманди проинформировал о ней специалистов Cloudflare, которые оперативно исправили ошибку, а затем связались с поисковиками, чтобы те удалили попавшие в кэш страницы с конфиденциальной информацией. Как утверждают представители сервиса, им неизвестно о случаях использования уязвимости злоумышленниками.
Клиентами Cloudflare являются многие крупные сайты. Согласно информации, опубликованной на ресурсе GitHub, уязвимость могла затронуть почти 4,3 млн доменов. Среди наиболее значимых из них можно выделить блог-платформу Medium, имиджборд 4chan, торрент-трекер The Pirate Bay, сервис такси Uber, сайт знакомств OKCupid, а также российский сайт о смартфонах 4pda.ru. Пользователям этих и других потенциально затронутых ресурсов настоятельно рекомендуется сменить пароли от учетных записей.