Массивная утечка памяти веб-сервисов и систем безопасности компании Cloudflare может раскрыть пользовательские данные тысяч сайтов. Другими словами: пришло время сменить свои пароли.

Еще много предстоит узнать о масштабах возможного вреда этой утечки, которую уже прозвали Cloudbleed – по аналогии с Heartbleed имевшей место еще в 2014 г. Однако даже то, что уже известно очень настораживает – часть утечки, которая возможно содержала пользовательские данные, могла попасть в кэш поисковиков. Потенциально это дает возможность большего распространения приватных данных, чем непосредственно сама утечка.

Cloudbleed был обнаружен 18 февраля Тэвисом Орманди, аналитиком группы безопасности Google Project Zero. Как именно была обнаружена и исправлена утечка памяти подробно подробно описано в этом посте (англ.). По словам Cloudflare, «самый большой объем утечек был с 13 по 18 февраля с примерно 1 из каждых 3 300 000 HTTP запросов через Cloudflare (это около 0.00003% от всех запросов, или примерно 100-200 тысяч страниц с приватными данными ежедневно).»

Хотя до сих пор нет официального списка пострадавших сайтов, но многие сервисы просят пользователей сменить свои пароли независимо от Cloudbleed. Пользователь Github опубликовал список сайтов (англ.) скомпрометированных, по его мнению и с оговоркой, что «только потому, что домен находится в списке не означает, что сайт взломан, а также сайты могут быть скомпрометированы, но отсутствовать в этом списке». Основываясь на собранных данных он утверждает, что более 4 миллионов сайтов находятся в зоне риска. Согласно же самой Cloudflare – скомпрометировано более чем 1000 доменов.

Самое тревожное в этом то, что даже 2-факторная аутентификация не предохраняет от такого типа утечек и, предположительно, также требует смены пароля.

Тем временем Cloudflare пытается подсластить пилюлю публикуя заметки по типу «Мы также не обнаружили каких-либо доказательств вредоносного ПО использующего эту утечку», хотя это всего лишь то, что скажет любая большая компания, которая была бы замешана в такой гигантской течи.

Ниже приведены некоторые из наиболее известных сайтов, которые предположительно находятся под угрозой.

Вы можете читать список, но лучше сперва сменить пароли.

authy.com
coinbase.com
bitcoin.de
betterment.com
transferwise.com
prosper.com
patreon.com
bitpay.com
news.ycombinator.com
producthunt.com
medium.com
4chan.org
yelp.com
okcupid.com
uber.com
poloniex.com
localbitcoins.com
kraken.com
23andme.com
curse.com (и еще несколько сайте Curse, например minecraftforum.net)
counsyl.com
tfl.gov.uk
account.leagueoflegends.com
myaccount.nytimes.com
technicpack.net
cloudflare.com
blockchain.info
discordapp.com (подтверждена утечка)
digitalocean.com (утечки данных не обнаружено в кэше поисковиков)
namecheap.com (утечки данных не обнаружено в кэше поисковиков)
glassdoor.com (утечки данных не обнаружено в кэше поисковиков)
vultr.com (утечки данных не обнаружено в кэше поисковиков)
tineye.com
feedly.com
thepiratebay.org
pastebin.com
upwork.com

UPD:
@PHmaster рекомендует:
Нашел вот такой полезный сервис: cloudbleed.github.io
Показывает, какие сайты из списка потенциально скомпрометированных вы посещали.
Поделиться с друзьями
-->

Комментарии (45)


  1. EjikVTumane
    26.02.2017 17:49
    +1

    Стоит отметить, что если на том же feedly.com использовалась аутентификация через Google+, например, то менять пароль не требуется:

    if you are using a third-party login option like Google, Facebook, or Twitter, you are NOT impacted and do not need to change your password.

    Разве что перелогиниться может быть нужно, чтоб пересоздать сессию, о чем писалось в блоге feedly.


    1. atomlib
      26.02.2017 17:58

      If. По мере развития сервиса у них появилась возможность регистрироваться по почте, то есть с паролем. Свой пароль я сменил, делается это на feedly.com/i/logins.


      1. EjikVTumane
        26.02.2017 18:35

        Речь была не о том, что у них нельзя регистрироваться без использования стороннего сервиса аутентификации.
        В статье не было отражено, что при использовании той же OAuth аутентификации, через сторонний сервис (тот же Google+), проблема Cloudbleed по сути не затрагивает пользователя никак.


  1. Evgeny42
    26.02.2017 18:11
    +7

    Сменил свой пароль на форчане, спасибо.


  1. K1801vm2
    26.02.2017 18:24
    +5

    Ни один из сайтов из списка в конце статьи не знаком. Существует ли список для отечественых сайтов?


    1. larichev
      26.02.2017 18:34
      +1

      Про Uber даже не слышали? Или вы имели в виду, что не пользуетесь сайтами из списка?

      Как бы то ни было – тут список доменов (zip-архив, 22 мегабайта), которые в группе риска.


      1. Tim_23
        26.02.2017 18:55

        А в Uber просто так пароль и не поменяешь. Если только «забыть» и восстановить


      1. Charg
        26.02.2017 19:20

        thepiratebay еще более известен, я бы сказал.


        1. mukizu
          26.02.2017 20:49
          -7

          news.ycombinator.com
          producthunt.com
          medium.com
          digitalocean.com

          я так вообще не представляю как можно о них не знать, если работаешь в it


          1. tmin10
            26.02.2017 21:38
            +4

            А подскажите, чем интересны первые 3 сайта? Никогда с ними не сталкивался в повседневной жизни, возможно, что я много упускаю.


            1. mukizu
              27.02.2017 00:07
              +1

              Первое — новостной аггрегатор по it тематике, с рейтингами и оперативным добавлением. Если в мире it случилось что-то интересное — 99% что оно там на главной раньше чем где либо.

              Второе — из названия по-моему должно быть очевидно. Портал на котором авторы делятся новоиспеченными приложениями и сервисами. Активно используется для продвижения новых проектов на рынок. Интересно как с точки зрения потребителя, так и в процессе поиска проекта, к которому интересно было бы присоединиться\инвестировать.

              Третья — одна из самых популярный блого-плотформ as of now. Как среди it специалистов, так и среди компаний (блоги достаточно многих компаний именно там). Кроме it там много и независимых журналистов, просто блогеров, для кого-то просто замена ЖЖ.

              Ну и я никого не хотел обидеть, просто по-моему все это у всех на слуху. Как о Y Combinator можно не знать? (как о фонде, так и конкретном поддомене)


              1. RigelNM
                27.02.2017 14:32

                А ничего, что здесь еще обитают люди никак не связанные с it?


                1. mukizu
                  27.02.2017 22:39

                  Ничего страшного конечно, именно затем я и добавил «если». Учитывая, что у человека в качестве ника выбран https://ru.wikipedia.org/wiki/1801BMx мне бы было странно узнать, что он хирург, например.


              1. TheOleg
                28.02.2017 09:23
                +1

                Не очень понятно, как это может быть связанно с конекретно профессией разработчика. (Помимо сомнительного поиска работы на втором сайте)


                1. mukizu
                  28.02.2017 10:27
                  -1

                  Самым наипрямейшим, если только это не какой-то зашоренный стереотипный сутулый тип в очках. Ну, то есть в той же степени, что и хабс с гиктаймсом и тостером. Посление 2 так даже менее связанны чем hacker news, например.


                  1. TheOleg
                    28.02.2017 11:51
                    +1

                    Все эти сайты «для себя», если человеку интересно. Об это профессионализме это абсолютно ничего не говорит. Иногда, даже наоборот.


                    1. mukizu
                      28.02.2017 22:04

                      Так постановке вопроса о профессионализме ничего и не было, с чего вы мне это вменяете?


                      1. TheOleg
                        01.03.2017 00:13

                        Ну тогда да, недопонимание вышло.


    1. vconst
      27.02.2017 12:01
      +2

      Эти тоже незнакомы:
      thepiratebay.org
      pastebin.com
      digitalocean.com
      cloudflare.com
      ?


      1. semmaxim
        27.02.2017 22:27
        +1

        Первый давно подзабыт. Да и в России им очень мало кто пользовался.
        pastebin вообще очень специфичен.
        Два остальных обычно мало знакомы не-web разработчику. Что таким там ловить?


        1. vconst
          28.02.2017 11:40
          +1

          Первый подзабыт только теми, кому вполне хватает кинчиков на рутрекере, пастбин — почти стандарт в обмене кодом между разработчиками, DO — один из самых популярных облачных хостеров с приятными ценами, как раз веб-разработчику часто нужен. Как может веб-разработчик не знать об одной из самых больших сетей CDN — я даже не знаю что сказать.


  1. Barafu
    26.02.2017 19:38
    +4

    Ой, ну как же это надоело. (Тут идёт картинка с волком «Шо, опять?».) Нафига понаделывали все эти двухфакторные авторизации (ныне неотключаемые), которые бесят раз в неделю лезть за телефоном, если всё равно раз в год нужно «срочно менять все пароли на всех сайтах»?
    Это одновременно с тем, что каждая козявка в сети требует зарегистрироваться и получить пароль, чтобы пользоваться сервисом. В результате у меня записано уже 200 паролей. И что, все менять?


    1. Areso
      26.02.2017 19:55

      На многих сайтах можно зарегистрироваться, всего лишь слинковав с аккаунтом fb/twitter/github/ваш_вариант_oath


      1. Barafu
        26.02.2017 22:23
        +11

        Брелок — это приспособление, позволяющее потерять все ключи одновременно.


      1. Kenya-West
        01.03.2017 14:16

        Ага, а потом в упор не помнишь, с каким аккаунтом из этих соцсетей ты входил. Более того, ты не знаешь, каким из акков Фейсбука ты авторизовал сервис! Цена ошибки как минимум — предложение зарегать новый аккаунт, как максимум — ты случайно зарегал новый акк, который в самых запущенных случаях можно удалить только обращением в техподдержку с угрозой расправы над CEO!

        В итоге всё равно приходится лезть в KeePass и рыться. OAuth — костылище, коих я на свалке истории видал!


    1. msfs11
      27.02.2017 10:47

      А где записано, что вас это напрягает? На бумажке или в текстовом файлике на рабочем столе?


      1. Barafu
        28.02.2017 10:05

        Я пользуюсь примитивным самодельным фронтендом к SQlite. Потому что KeePass во всех инкарнациях до сих пор не работает на экране 4K. А LastPass хочет совместимого браузера. И да, его автосмена паролей — муть с функцией подставы, мне не нравится.


  1. servermen
    26.02.2017 20:27

    А это случаем не продолжение одной недавней истории?


    1. larichev
      26.02.2017 21:45

      Вроде бы нет.


  1. Barnaby
    26.02.2017 20:56
    +2

    btc-e.com забыли.
    Не понял сути жирного шрифта — аккаунты к poloniex и прочим фин. сервисам явно важнее 4chan.


    1. larichev
      26.02.2017 21:46

      Жирным выделены более известные широкой общественности сайты.


  1. boingo-00
    26.02.2017 20:59

    В список еще change.org добавить надо, мне на мыло письмо утром прилетело, чтобы я пароль сменил


  1. Kladproraba
    27.02.2017 00:32
    -1

    Благодарю автора larichev за список, есть аккаунты у меня на coinbase, bitcoin и ещё несколько из списка, пойду менять пароли.


  1. sleeply4cat
    27.02.2017 01:41
    +1

    А есть пример тех самых закэшированных приватных данных?


    1. larichev
      27.02.2017 11:24

      Примеры были, но то что опубликовали быстро удалили из кэша. Так что только самому парсить.


  1. gsaw
    27.02.2017 03:10

    bitcoin.de заставили при входе поменять пароль.


    1. Lolololoshka
      27.02.2017 11:17

      Ну значит узнали о Cloudbleed и заставили пользователей поменять пароли :)


  1. sumanai
    27.02.2017 05:18

    Теперь вы понимаете, почему я не использую Cloudflare сам и не рекомендую использовать другим без острой необходимости? Лишняя точка отказа и утечки данных.


    1. TheOleg
      27.02.2017 09:36
      +3

      Раз в год и палка стреляет heartbleed происходит.


    1. tmin10
      27.02.2017 10:38
      +2

      А для моего бложика Cloudflare идеально подходит, снимает с сервера отдачу кучи статического контента. Просто нужно использовать CDN с умом и не пропускать через него все страницы сайта, а, например, вынести работу с важными данными на отдельный поддомен или что-то такое.


  1. PHmaster
    27.02.2017 10:58
    +1

    Нашел вот такой полезный сервис: https://cloudbleed.github.io/
    Показывает, какие сайты из списка потенциально скомпрометированных вы посещали.


  1. Klestofer
    27.02.2017 11:18

    В списке на GitHub присутствует Upwork! Сменить пароль не помешает.


    1. larichev
      27.02.2017 11:26

      Добавил.


  1. altman
    27.02.2017 15:13

    Бегло по диагонали нашел кучу сайтов, где есть аккаунты:

    4pda.ru
    dlink.com
    fitbit.com
    cyanogen.org
    kinozal.tv
    rghost.ru
    xbmc.org

    Большинство маловажные безусловно, но если кто-то еще не начал использовать уникальные пароли…


  1. IGHOR
    27.02.2017 17:32
    +2

    > Смените ваши пароли. Прямо сейчас

    Самое главное не сказали — ставьте разные пароли