Массивная утечка памяти веб-сервисов и систем безопасности компании Cloudflare может раскрыть пользовательские данные тысяч сайтов. Другими словами: пришло время сменить свои пароли.
Еще много предстоит узнать о масштабах возможного вреда этой утечки, которую уже прозвали Cloudbleed – по аналогии с Heartbleed имевшей место еще в 2014 г. Однако даже то, что уже известно очень настораживает – часть утечки, которая возможно содержала пользовательские данные, могла попасть в кэш поисковиков. Потенциально это дает возможность большего распространения приватных данных, чем непосредственно сама утечка.
Cloudbleed был обнаружен 18 февраля Тэвисом Орманди, аналитиком группы безопасности Google Project Zero. Как именно была обнаружена и исправлена утечка памяти подробно подробно описано в этом посте (англ.). По словам Cloudflare, «самый большой объем утечек был с 13 по 18 февраля с примерно 1 из каждых 3 300 000 HTTP запросов через Cloudflare (это около 0.00003% от всех запросов, или примерно 100-200 тысяч страниц с приватными данными ежедневно).»
Хотя до сих пор нет официального списка пострадавших сайтов, но многие сервисы просят пользователей сменить свои пароли независимо от Cloudbleed. Пользователь Github опубликовал список сайтов (англ.) скомпрометированных, по его мнению и с оговоркой, что «только потому, что домен находится в списке не означает, что сайт взломан, а также сайты могут быть скомпрометированы, но отсутствовать в этом списке». Основываясь на собранных данных он утверждает, что более 4 миллионов сайтов находятся в зоне риска. Согласно же самой Cloudflare – скомпрометировано более чем 1000 доменов.
Самое тревожное в этом то, что даже 2-факторная аутентификация не предохраняет от такого типа утечек и, предположительно, также требует смены пароля.
Тем временем Cloudflare пытается подсластить пилюлю публикуя заметки по типу «Мы также не обнаружили каких-либо доказательств вредоносного ПО использующего эту утечку», хотя это всего лишь то, что скажет любая большая компания, которая была бы замешана в такой гигантской течи.
Ниже приведены некоторые из наиболее известных сайтов, которые предположительно находятся под угрозой.
Вы можете читать список, но лучше сперва сменить пароли.
authy.com
coinbase.com
bitcoin.de
betterment.com
transferwise.com
prosper.com
patreon.com
bitpay.com
news.ycombinator.com
producthunt.com
medium.com
4chan.org
yelp.com
okcupid.com
uber.com
poloniex.com
localbitcoins.com
kraken.com
23andme.com
curse.com (и еще несколько сайте Curse, например minecraftforum.net)
counsyl.com
tfl.gov.uk
account.leagueoflegends.com
myaccount.nytimes.com
technicpack.net
cloudflare.com
blockchain.info
discordapp.com (подтверждена утечка)
digitalocean.com (утечки данных не обнаружено в кэше поисковиков)
namecheap.com (утечки данных не обнаружено в кэше поисковиков)
glassdoor.com (утечки данных не обнаружено в кэше поисковиков)
vultr.com (утечки данных не обнаружено в кэше поисковиков)
tineye.com
feedly.com
thepiratebay.org
pastebin.com
upwork.com
UPD:
@PHmaster рекомендует:
Нашел вот такой полезный сервис: cloudbleed.github.io
Показывает, какие сайты из списка потенциально скомпрометированных вы посещали.
Комментарии (45)
K1801vm2
26.02.2017 18:24+5Ни один из сайтов из списка в конце статьи не знаком. Существует ли список для отечественых сайтов?
larichev
26.02.2017 18:34+1Про Uber даже не слышали? Или вы имели в виду, что не пользуетесь сайтами из списка?
Как бы то ни было – тут список доменов (zip-архив, 22 мегабайта), которые в группе риска.
Tim_23
26.02.2017 18:55А в Uber просто так пароль и не поменяешь. Если только «забыть» и восстановить
Charg
26.02.2017 19:20thepiratebay еще более известен, я бы сказал.
mukizu
26.02.2017 20:49-7news.ycombinator.com
producthunt.com
medium.com
digitalocean.com
я так вообще не представляю как можно о них не знать, если работаешь в it
tmin10
26.02.2017 21:38+4А подскажите, чем интересны первые 3 сайта? Никогда с ними не сталкивался в повседневной жизни, возможно, что я много упускаю.
mukizu
27.02.2017 00:07+1Первое — новостной аггрегатор по it тематике, с рейтингами и оперативным добавлением. Если в мире it случилось что-то интересное — 99% что оно там на главной раньше чем где либо.
Второе — из названия по-моему должно быть очевидно. Портал на котором авторы делятся новоиспеченными приложениями и сервисами. Активно используется для продвижения новых проектов на рынок. Интересно как с точки зрения потребителя, так и в процессе поиска проекта, к которому интересно было бы присоединиться\инвестировать.
Третья — одна из самых популярный блого-плотформ as of now. Как среди it специалистов, так и среди компаний (блоги достаточно многих компаний именно там). Кроме it там много и независимых журналистов, просто блогеров, для кого-то просто замена ЖЖ.
Ну и я никого не хотел обидеть, просто по-моему все это у всех на слуху. Как о Y Combinator можно не знать? (как о фонде, так и конкретном поддомене)RigelNM
27.02.2017 14:32А ничего, что здесь еще обитают люди никак не связанные с it?
mukizu
27.02.2017 22:39Ничего страшного конечно, именно затем я и добавил «если». Учитывая, что у человека в качестве ника выбран https://ru.wikipedia.org/wiki/1801BMx мне бы было странно узнать, что он хирург, например.
TheOleg
28.02.2017 09:23+1Не очень понятно, как это может быть связанно с конекретно профессией разработчика. (Помимо сомнительного поиска работы на втором сайте)
mukizu
28.02.2017 10:27-1Самым наипрямейшим, если только это не какой-то зашоренный стереотипный сутулый тип в очках. Ну, то есть в той же степени, что и хабс с гиктаймсом и тостером. Посление 2 так даже менее связанны чем hacker news, например.
TheOleg
28.02.2017 11:51+1Все эти сайты «для себя», если человеку интересно. Об это профессионализме это абсолютно ничего не говорит. Иногда, даже наоборот.
vconst
27.02.2017 12:01+2Эти тоже незнакомы:
thepiratebay.org
pastebin.com
digitalocean.com
cloudflare.com
?
semmaxim
27.02.2017 22:27+1Первый давно подзабыт. Да и в России им очень мало кто пользовался.
pastebin вообще очень специфичен.
Два остальных обычно мало знакомы не-web разработчику. Что таким там ловить?vconst
28.02.2017 11:40+1Первый подзабыт только теми, кому вполне хватает кинчиков на рутрекере, пастбин — почти стандарт в обмене кодом между разработчиками, DO — один из самых популярных облачных хостеров с приятными ценами, как раз веб-разработчику часто нужен. Как может веб-разработчик не знать об одной из самых больших сетей CDN — я даже не знаю что сказать.
Barafu
26.02.2017 19:38+4Ой, ну как же это надоело. (Тут идёт картинка с волком «Шо, опять?».) Нафига понаделывали все эти двухфакторные авторизации (ныне неотключаемые), которые бесят раз в неделю лезть за телефоном, если всё равно раз в год нужно «срочно менять все пароли на всех сайтах»?
Это одновременно с тем, что каждая козявка в сети требует зарегистрироваться и получить пароль, чтобы пользоваться сервисом. В результате у меня записано уже 200 паролей. И что, все менять?
Areso
26.02.2017 19:55На многих сайтах можно зарегистрироваться, всего лишь слинковав с аккаунтом fb/twitter/github/ваш_вариант_oath
Kenya-West
01.03.2017 14:16Ага, а потом в упор не помнишь, с каким аккаунтом из этих соцсетей ты входил. Более того, ты не знаешь, каким из акков Фейсбука ты авторизовал сервис! Цена ошибки как минимум — предложение зарегать новый аккаунт, как максимум — ты случайно зарегал новый акк, который в самых запущенных случаях можно удалить только обращением в техподдержку с угрозой расправы над CEO!
В итоге всё равно приходится лезть в KeePass и рыться. OAuth — костылище, коих я на свалке истории видал!
msfs11
27.02.2017 10:47А где записано, что вас это напрягает? На бумажке или в текстовом файлике на рабочем столе?
Barafu
28.02.2017 10:05Я пользуюсь примитивным самодельным фронтендом к SQlite. Потому что KeePass во всех инкарнациях до сих пор не работает на экране 4K. А LastPass хочет совместимого браузера. И да, его автосмена паролей — муть с функцией подставы, мне не нравится.
boingo-00
26.02.2017 20:59В список еще change.org добавить надо, мне на мыло письмо утром прилетело, чтобы я пароль сменил
Kladproraba
27.02.2017 00:32-1Благодарю автора larichev за список, есть аккаунты у меня на coinbase, bitcoin и ещё несколько из списка, пойду менять пароли.
sleeply4cat
27.02.2017 01:41+1А есть пример тех самых закэшированных приватных данных?
larichev
27.02.2017 11:24Примеры были, но то что опубликовали быстро удалили из кэша. Так что только самому парсить.
gsaw
27.02.2017 03:10bitcoin.de заставили при входе поменять пароль.
Lolololoshka
27.02.2017 11:17Ну значит узнали о Cloudbleed и заставили пользователей поменять пароли :)
sumanai
27.02.2017 05:18Теперь вы понимаете, почему я не использую Cloudflare сам и не рекомендую использовать другим без острой необходимости? Лишняя точка отказа и утечки данных.
tmin10
27.02.2017 10:38+2А для моего бложика Cloudflare идеально подходит, снимает с сервера отдачу кучи статического контента. Просто нужно использовать CDN с умом и не пропускать через него все страницы сайта, а, например, вынести работу с важными данными на отдельный поддомен или что-то такое.
PHmaster
27.02.2017 10:58+1Нашел вот такой полезный сервис: https://cloudbleed.github.io/
Показывает, какие сайты из списка потенциально скомпрометированных вы посещали.
altman
27.02.2017 15:13Бегло по диагонали нашел кучу сайтов, где есть аккаунты:
4pda.ru
dlink.com
fitbit.com
cyanogen.org
kinozal.tv
rghost.ru
xbmc.org
Большинство маловажные безусловно, но если кто-то еще не начал использовать уникальные пароли…
IGHOR
27.02.2017 17:32+2> Смените ваши пароли. Прямо сейчас
Самое главное не сказали — ставьте разные пароли
EjikVTumane
Стоит отметить, что если на том же feedly.com использовалась аутентификация через Google+, например, то менять пароль не требуется:
Разве что перелогиниться может быть нужно, чтоб пересоздать сессию, о чем писалось в блоге feedly.
atomlib
If. По мере развития сервиса у них появилась возможность регистрироваться по почте, то есть с паролем. Свой пароль я сменил, делается это на feedly.com/i/logins.
EjikVTumane
Речь была не о том, что у них нельзя регистрироваться без использования стороннего сервиса аутентификации.
В статье не было отражено, что при использовании той же OAuth аутентификации, через сторонний сервис (тот же Google+), проблема Cloudbleed по сути не затрагивает пользователя никак.