Cloudflare выявили крупную утечку: под угрозой множество паролей и личных данных

Сервис Cloudflare, который используют другие веб-ресурсы для улучшения производительности и безопасности, сам оказался в зоне риска.

Как сообщают представители Cloudflare, неделю назад они получили сообщение о возможной проблеме от одного из исследователей Google по имени Тэвис Орманди. Последующая проверка показала, что тревога Орманди была не напрасной.

“Оказалось, что в некоторых, довольно необычных обстоятельствах, наши серверы неправильно реагировали на ошибку с переполнением буфера. Обратно запрос возвращался с памятью, содержащей личные данные, включая HTTP cookies, маркеры аутентификации, и подобные вещи” - сообщил технический директор компании, Джон Грэхем-Камминг.

Практически сразу же служба безопасности Cloudflare закрыла найденную уязвимость, но часть конфиденциальной информации даже прокешировалась при этом поисковыми системами.

По сути, данные, которые предназначались только для временного хранения в буферизированной памяти, затем по ошибке поступала в описание веб-страницы - и захватывалась затем машинами поисковых систем, вместе с сообщением об ошибке.

Мы проверили несколько случаев, и находили ключи шифрования, “куки”, пароли, POST и даже HTTP запросы на других крупных сайтах, размещаемых пользователями через Cloudflare, - подчеркнул Тэвис Орманди.

Как отмечает исследователь, ситуация была довольно необычной: свои и чужие личные данные пользователи в каком-то смысле сами загружали в публичное пользование, отчасти - из-за того, что не вполне понимали, что видели в поступившем ответе.

Сейчас Cloudflare предупреждает своих пользователей о том, что им лучше сменить привычные пароли, и разбирается с последствиями ошибки, но затронуто могут быть огромное количество сайтов, включая даже Uber, Fitbit и 1Password.