過去数か月にわたって、人気のあるCloudflareサービスのバグにより、ユーザー名、パスワード、プライベートメッセージなどの機密性の高いユーザーデータがプレーンテキストで世界中に公開された可能性があります。しかし、この問題はどれほど大きく、あなたは何をすべきでしょうか?
Cloudflareとは何ですか?
Cloudflareは、Webサイトの幅広いネットワークに(とりわけ)セキュリティおよびパフォーマンス機能を提供するサービスです。それはとして機能します リバースプロキシ 、あなた(ユーザー)と特定のウェブサイトの間の仲介者。そのサイトにアクセスすると、実際のサイトのサーバーではなく、Cloudflareのサーバーの1つに移動します。
これにより、Cloudflareはあなたが正当なユーザーであることを保証できます(したがって、 サービス拒否攻撃 )、サイトの読み込みを高速化し(サイトの特定の部分をキャッシュしているため)、ダウンタイムから保護します(世界中に複数のサーバーがあり、問題が発生した場合はどのサーバーにもフォールバックできるため)。
つまり、Cloudflareはサイトをより速く、より安全にすることを目的としており、多くのWebサイトで使用されているサービスです。
どうした? (そして「Cloudbleed」とは何ですか?)
残念ながら、サイトがCloudflareのようなサービスを使用していても、100%安全なものはなく、バグが発生します。この場合、Cloudflareは実際に 原因 セキュリティの問題:HTMLを解析するリバースプロキシコードのバグにより、特定の状況でCloudflareのサーバーがメモリの内容をリークしていました。 (一部の人々はこれを「Cloudbleed」と呼んでいます。 ハートブリードバグ それはインターネットの大部分にも影響を及ぼしました。)
このデータには、ユーザー名、パスワード、プライベートメッセージなど、あらゆる種類の機密データが含まれている可能性があります。 OAuth トークン、その他多数。さらに悪いことに、そのデータの一部は一部の検索エンジン(Cloudflareによると約700ページ)によってインデックスに登録されてキャッシュされたため、Googleで何を検索するかを知っていれば、特定の時間にログインしたユーザーからの機密データを見つけることができます。リーク。
このバグは約5か月間発見されず、今週発見された後にパッチが適用されました。 Cloudflareによると、「最大の影響期間は2月13日と2月18日で、Cloudflareを介した3,300,000件のHTTPリクエストごとに約1件で、メモリリークが発生する可能性があります(リクエストの約0.00003%)。」
しかし、Cloudflareと同じくらい人気のあるサービスでは、0.00003%はまだたくさんあります。何人かの人々はされています Cloudflareを使用するサイトのリストを編集する 、それには、Yelp、OkCupid、Uber、Authy、Mediumなど、400万を超えるドメインが含まれています。 (( 一部のモバイルアプリが影響を受けます 同じように。)
このバグの技術的な詳細についてもっと読むことができます Cloudflareのブログで 、おそらくあなたがプログラマーである場合にのみ興味があるでしょうが、あなたが通常のインターネットユーザーである場合、あなたが知る必要がある唯一のことは…
私は何をすべきか?
まず、パニックになりすぎないでください。上のすべてのサイトではありません その400万のリスト 必然的に機密情報が漏洩しました。たとえば、サイトがCloudflareを使用して画像データをキャッシュしている場合、漏洩する機密情報はありません。とにかく、各リークがパスワードのマスターリストであったわけではありません。ランダムな情報であり、 たぶん......だろう いつでもいくつかのランダムなユーザー名とパスワードが含まれています。
ただし、Cloudflareは、独自の秘密鍵の1つが漏洩したことにも言及しました。これにより、攻撃者は、ユーザー名やパスワードなど、Cloudflareの内部データにアクセスできるようになります。 Cloudflareは、より機密性の高い情報を漏らす可能性のある主要なセキュリティリスクであるにもかかわらず、この特定の点について非常にあいまいでした
とはいえ、データが漏洩したかどうか、どこで漏洩したかを知る実際の方法はないため、現時点で安全な行動は次のとおりです。 すべてのパスワードを変更する 。 (確かに、400万のサイトのリストを調べて、Cloudflareで使用されているサイトのみを変更できますが、正直なところ、すべてを変更する方が簡単で高速です。)
パスワードを使用した通常のルールがここに適用されます。 複数のサイトで同じパスワードを使用しないでください 、 パスワードマネージャーを使用する お気に入り LastPass 、および 二要素認証をオンにする それを許可するすべてのサイトに対して。これらのことをしていなければ、Cloudflareのバグはおそらく最も心配する必要はありません。結局のところ、サイトは常にハッキングされており、どこでも同じパスワードを使用していると、すべてのデータが定期的に危険にさらされます。
すでにパスワードマネージャーを使用している場合、このプロセスは簡単です(少し長くて退屈な場合)。しかし、あなたは今ではこのダンスに慣れているはずです。
