Személyes és üzleti adataink digitális biztonsága

Adatvédelem & Informatikai biztonság

Megvolt a legújabb legnagyobb adatvédelmi szerencsétlenség

2017. május 05. - ITsec
http://bitport.hu/megvolt-a-legujabb-legnagyobb-adatvedelmi-szerencsetlenseg
A CloudFlare szolgáltatásai egy apró bug miatt a létező legérzékenyebb adatokat szórták ki a netre, amelyeket a webes keresők még el is tároltak.

 

A CloudFare-nek már korábban is sikerült a hírfolyamok élére kapaszkodnia az olyan apró megingásokkal, mint például az év végi szökőmásodperc okozta, nem igazán jelentős szolgáltatás-kiesések. Néhány nappal ezelőtt azonban a tartalomkézbesítési hálózati (CDN) megoldásokban utazó amerikai vállalat akkorát perecelt, hogy az az eltelt rövid időben is már önálló néven, Cloudbleed-ként vonult be a katasztrofális adatbiztonsági incidensek rövid történetébe.

A CloudFlare szolgáltatásainak lényege, hogy a weboldalak forgalmát saját szerverein küldi át, és eközben különféle eszközökkel optimalizálja (értsd: gyorsítja) a forgalmat, nem beszélve az olyan biztonsági készségekről, mint amilyen mondjuk az elosztott szolgáltatásmegtagadási támadásokkal (DDoS) támadásokkal szembeni védelem. A CloudFlare jelenleg 5,5 millió oldalt szolgál ki világszerte, befektetői között ott találjuk a Microsoftot, a Google-t, a Qualcommot vagy a Baidut is.

Válogatás nélkül minden kiment a netre 

A most felfedezett memóriaszivárgás a beszámolók szerint nagyjából öt hónapja zajlik, bár a csúcsot csak az elmúlt héten érte el. A dolog érdemi része, hogy egy HTML parser banális kódhibája miatt a CloudFlare bizonyos funkciói alatt a biztonsági szerverek elkezdték különféle memóriacímekre kipakolni a legkülönbözőbb adatokat, HTTP válaszokban szórva szét a tulajdonképpen véletlenszerű memóriatartalmakat.

Ezzel a beszámolók alapján jelszavak, titkosítási kulcsok és más, hasonlóan érzékeny információ is nyilvánosságra kerültek, ráadásul a webes keresők cache-elték is a kikerült adatokat (a Google még nemrégiben is őrizte a nyomokat), így az elvi lehetőséghosszú idő óta megvolt azok begyűjtésére. A CloudFlare szakemberei eddig 770 egységes erőforrás-azonosító (URI) és több mint 160 domain kapcsán erősítették meg a szivárgást.

Fontos ügyfelek is érintettek lehetnek

Ez összességében annyit jelent, hogy több millió oldalletöltésből egyszer fordulhatott elő hasonló incidens (a lekérdezések 3 százezred százalékáról beszélünk), ami persze nem biztos, hogy teljesen megvigasztalja az érintetteket. Különösen, hogy ebben a pillanatban nem igazán lehet megállapítani, hogy kifejezetten érzékeny vagy teljesen jelentéktelen adatokról volt-e szó egy-egy esetben.

A Cloudbleed incidens olyan márkákat érint, mint a Uber, a Nasdaq, a Reddit vagy a Fitbit, sőt a Github egy meg nem erősített listát is közölt a Cloudbleed sújtotta domainekről. Bár az adatszivárgásokat kiváltó bugot a bejelentéseket követően nem sokkal megszüntették, az csak később fog kiderülni, hogy pontosan milyen adatok kerültek ki a világhálóra, és hogy ezt kihasználta-e valaki.