Из-за уязвимости сервис Cloudflare месяцами сливал данные клиентов

Компания Cloudflare, которая занимается доставкой контента и безопасностью сайтов, 23 февраля объявила о крупнейшей дыре в безопасности за все время существования сайтов. Оказалось, что незаметно для всех система автоматически отдавала в сеть данные с хранилищ своих клиентов. Причем, это могли быть даже пароли и конфиденциальная информация. Проблему случайным образом обнаружил сотрудник компании Google. О случившемся рассказало издание TechCrunch.

Компания Cloudflare представляет собой посредника между пользователем и сайтом с контентом. Зачем к нему обращаются? Это и защита от DDoS-атак, защита и хранение данных, ускорение загрузки страниц и т.д. Система весьма выгодна для небольших сайтов, но ею часто пользуются и гиганты уровня Uber. Сама идея Cloudflare появилась в 2009 году, а активно развиваться сервис начал пять лет назад. С того времени число сайтов, с которыми работает сервис, выросло до 5 млн.

Утечку данных обнаружил сотрудник Google Тэвис Орманди. Как он сам утверждает, сделать это получилось случайно. Работая над собственным проектом Орманди обратился к одному из сайтов, который работал через Cloudflare. По понятным причинам кроме запрашиваемой информацию ему выдавались и данные с других сайтов. В ходе нескольких тестов удалось заполучить данные крупных компаний, среди которых был и Uber.

Причиной слива данных стало желание Cloudflare подключить сервис AMP — Accelerated Mobile Pages. Это разработка Google, которая позволяет существенно улучшить скорость загрузки страниц в сети, что-то похожее на Instant Article от Facebook. Во время подключения произошел сбой: некоторые страницы создавались с ошибками. Это происходило из-за того, что три функции Cloudflare не были оптимизированы под новую технологию. Как результат, часть данных  с таких страниц отправлялась с серверов компании в поисковые системы.

Считается, что слив происходил приблизительно раз на более чем 3 млн открытых страниц. В Cloudflare заверяют, что было слито лишь 0,00003% данных. В день это более 120 000 частиц данных.

Как долго это происходило? Считается, что уязвимость открылась в конце сентября и работала до момента обнаружения ее сотрудником Google. Как уверяет сам Орманди, все полученные сведения он удалил, сообщив о проблеме в Cloudflare. Представители компании заявили, что хакерам эта информация не досталась: в таком случае они могли бы заметить нетипичную активность в попытках получить данные с подконтрольных системе сайтов. Сейчас проблема устранена, а все данные, которые были случайным образом слиты в поисковики, подчищаются самими поисковыми системами.

Сейчас в сети есть список со всеми сайтами, которые могли пострадать. Среди них есть и украинские — беглый поиск редакции AIN.UA обнаружил в нем почти 7300 сайтов только с доменным именем .ua, не считая всех остальных вариантов. Если сайты, которыми вы активно пользуетесь, есть в этом списке, стоит изменить пароль.

Напомним, на днях обнаружилась международная схема шпионажа, когда через установку специального ПО удавалось получить доступ к микрофону пользователя и прослушивать его. Почти все цели — в Украине.