İçerik dağıtım ağı CloudFlare, hassas verileri aylarca internet üzerinden sızdırdı

5,5 milyondan fazla siteyle kullanılan popüler bir içerik dağıtım ağını işleten, milyarlarca dolarlık bir başlangıç ​​olan CloudFlare, yanlışlıkla tüketicilerin aylardaki hassas bilgilerini sızdırdığını söyledi. CloudFlare, firmanın konunun sorunların merkezindeki yerini belirlediğini söyledi.

Sızdırılmış veriler, tespit edilen ve bildirilen Google güvenlik araştırmacısı Tavis Ormandy’ye göre “sızdırılmış verilere, büyük tanışma sitelerinden gelen özel mesajlar, tanınmış bir sohbet servisinden gelen tüm mesajlar, çevrimiçi şifre yöneticisi verileri, yetişkin video sitelerinden çerçeveler, otel rezervasyonları” dâhil edildi.  Geçen hafta. “Tam https istekleri, istemci IP adresleri, tam yanıtlar, çerezler, şifreler, anahtarlar, veriler, her şeyden bahsediyoruz.” İçerik dağıtım ağı CloudFlare, hassas verileri aylarca internet üzerinden sızdırdı

Bir in Perşembe yayınlanan tweet verileri dökülen sahip olarak, Ormandy, Uber, 1Password, Fitbit ve OKCupid dâhil sitelere işaret etti. Hatta HTTPS tarafından korunan siteler bile, bilgisayar korsanlarının ve casusların Internet trafiğini takip etmesini önlemek için tasarlanmış bir güvenlik önlemi etkilenmişti.

CloudFlare Cumartesi sabahının erken saatlerinde Ormandy’nin bildirimine derhal yanıt verdi. Güvenlik ekibi, saatler geçtikten sonra hizmetinde e-posta karmaşası , sunucu tarafı hariç tutma ve otomatik HTTPS yeniden yazımı gibi birkaç yeni özelliği devre dışı bırakarak sorunun ortaya çıkmasına neden oldu.

Ancak, CloudFlare, sorunun tamamen giderilmesi için bir hafta sürdü. Google, Yahoo ve Microsoft’un Bing gibi arama motorları yanlışlıkla sızdırılmış verileri kendi web tarayıcılarının önbelleklerinin bir parçası olarak sakladı ve CloudFlare ekibi bu dizinleri temizlemek için onlarla çalışmak zorunda kaldı. İçerik dağıtım ağı CloudFlare, hassas verileri aylarca internet üzerinden sızdırdı

Teknik olarak bir arabellek taşması olarak bilinen bellek sızıntısı sorunu, Eylül ayında CloudFlare yeni bir bit kodunu (bir HTML ayrıştırıcısı) sisteme taktığında başladı. CloudFlare’a göre, programın kendisinde büyük bir kusur bulunmuyordu, daha doğrusu tanıtımı daha iyi bir dönem eksikliği nedeniyle daha iyi bir kodlama hatasına neden oldu.

Bir in teknik otopsi olayın detaylı John Graham-Cumming, CloudFlare baş teknoloji yetkilisi, ne yanlış gitti. “Yeni HTML ayrıştırıcısı üzerinde çalışan mühendisler, hizmetimizi etkileyen hatalar yüzünden çok endişe duyuyorlardı, bu da saatler geçtikten sonra güvenlik sorunları olmadığını doğruladı” dedi.

“Maalesef gizli bir güvenlik sorunu bulunan eski yazılım parçasıydı ve bu sorun yalnızca bizden uzaklaşmak üzereyken ortaya çıktı” dedi. Ekibinin o zamandan beri CloudFlare yazılımını diğer potansiyel problemler için test etmeye başladığını da ekledi.

Graham-Cumming’in görevine göre sızıntı sorunu, her bir sayfanın% 0,00003’ü şebekesinden acilen potansiyel olarak özel bilgilerin kaymasına izin verdiğinde, 13 Şubat ile 18 Şubat arasında en düşük seviyeye ulaştı. Y Combinator en Hacker News forumunda bir soruşturma yanıt, Graham-Cumming eklendi ekibi 3438 benzersiz etki alanları arasında sızan veriler bulundu.

Ormandy, CloudFlare’nin web sitesinde yayın okuduktan sonra “Mükemmel postmortem içeriyor, ancak müşterilere yönelik riski ciddi derecede azaltıyor” yorumunu yaptı. Web’den içerik indirme ve önbelleğe alma, pek çok farklı organizasyon için yaygın bir uygulamadır çünkü Ormandy, Diğer tarayıcılar sızdırılan verileri farkında olmadan toplarlar. İçerik dağıtım ağı CloudFlare, hassas verileri aylarca internet üzerinden sızdırdı

Ormandy ayrıca, “CloudBleed” olarak CloudFlare hatasına atıfta bulunarak, hassas verilerin HTTPS oturumlarından sızmasına neden olan 2014 yılında keşfedilen bir bilgisayar hatası olan Heartbleed’e bir dil-in- cheek karşılaştırması yaptı. İçerik dağıtım ağı CloudFlare, hassas verileri aylarca internet üzerinden sızdırdı

Birden fazla güvenlik uzmanı bu önlemi almayı önerse de, CloudFlare’nin veya CloudFlare’nin herhangi birinin müşterilerinin, parolalarını ve kimlik doğrulama kimlik bilgilerini değiştirmesini tavsiye edeceği veya zorlayacak olup olmadığı görülecektir.