Cloudbleed: что вам нужно знать и что вам нужно делать

Что я должен делать
Измените пароль для всех ваших учетных записей в Интернете
Включите двухфакторную аутентификацию для каждой учетной записи, у которой она доступна в качестве опции

17 февраля 2017 года исследователь уязвимостей из Google Project Zero Tavis Ormandy наткнулся на то, что выглядело как очень неприятная утечка данных из Cloudflare, компании, занимающейся производительностью и безопасностью в Интернете. Он быстро связался с «правильными» людьми в Cloudflare, и ситуация была решена менее чем за час.

Любое нарушение данных может быть значительным. Особенно, когда у сервиса более одного миллиарда пользователей. Мы направим вас в отчет об инциденте с Cloudflare для получения полной информации о том, что произошло (предупреждение: оно довольно техническое). С точки зрения непрофессионала, утечка данных была потенциально конфиденциальной. Эти данные были доступны любому, даже веб-паукам, используемым поисковыми системами. Ключи SSL не были пропущены.

Функции Cloudflare, которые использовали уязвимый синтаксический анализатор HTML (обфускация электронной почты, исключения на стороне сервера и автоматические перезаписи HTTPS), использовались многими компаниями. Скорее всего, компании, с которыми у вас есть онлайн-аккаунты, это означает, что ваши данные могли быть раскрыты.

Mobile Nations использует некоторые услуги Cloudflare. Фактически, вы найдете нас в списке плавающих вокруг потенциально затронутых сайтов. Мы убедились, что затронутые службы не используются и никогда не использовались ни на каких мобильных сайтах.

После расследования функции, стоящие за #Cloudbleed (Email Obfuscation, SSE, HTTPS Rewrites), никогда не были активны на сайтах @MobileNations
- Маркус Адольфссон (@madolfsson) 24 февраля 2017 г.

Мы также получили уведомление от Cloudflare об утечке, и они сказали следующее:

Ваш домен не является одним из доменов, где мы обнаружили открытые данные в любых сторонних кешах. Ошибка была исправлена, поэтому она больше не пропускает данные. Тем не менее, мы продолжаем работать с этими кэшами, чтобы просматривать их записи и помогать им очищать любые открытые данные, которые мы находим. Если мы обнаружим какие-либо данные, просочившиеся о ваших доменах во время этого поиска, мы свяжемся с вами напрямую и предоставим вам полную информацию о том, что мы нашли.

Поищите аналогичное заявление в других местах, где у вас есть аккаунт, для получения информации о ваших данных, которые могли быть раскрыты.

Что я должен делать

Как и в большинстве крупных систем безопасности, мы никогда не узнаем полные детали того, что было, а что не было просочилось. Мы можем подтвердить, что мы не используем сервисы, которые были упомянуты как уязвимые, но мы не знаем, как это могло повлиять на что-либо еще на серверах Cloudflare. Каждый клиент Cloudflare находится в одной лодке.

Это означает, что вам пора проявить инициативу.

Измените пароль для всех ваших учетных записей в Интернете

Да, это отстой, но знаешь, что отстой больше? Если кто-то получит ваши данные и доступ к вещам, к которым вы не хотите, чтобы они имели доступ. Используйте менеджер паролей, и пусть он делает сумасшедшие пароли и запоминает их для вас, если у вас нет собственной процедуры управления паролями. Если вы не использовали менеджер паролей в прошлом, но хотели проверить его, сейчас самое подходящее время.

Подробнее: Лучшие менеджеры паролей для Android

Сейчас также самое время вспомнить, что вам следует регулярно менять пароли, что делает диспетчер паролей обязательным, если у вас много учетных записей.

Включите двухфакторную аутентификацию для каждой учетной записи, у которой она доступна в качестве опции

Если у вас включена двухфакторная проверка подлинности, кто-то другой с вашими данными для входа по- прежнему не сможет получить доступ к вашей учетной записи. Двухфакторная проверка подлинности также иногда может быть проблемой, но это лучший способ защитить себя, когда происходит большая утечка данных, как тот, который мы наблюдаем сейчас.

Вот некоторые ресурсы по двухфакторной аутентификации.