Cloudflare bug forårsager lækage af personlige HTTPS data på førende websites

CloudFlare er en forholdsvis populær webservice, og sikkerhedsselskabet og et nylig massivt angreb siges at have udsat brugerdata med hensyn til flere websteder, der kører på Cloudflare. Lad os først begynde med at forstå, hvad der præcist gør Cloudflare. Tjenesten fungerer som en Web Firewall & CDN og hjælper virksomheder med at beskytte deres websites og indlæses hurtigere. Men en programmeringsfejl synes at have skabt et bufferoverskridelse, som igen lækkede andre private sessionstaster og personlige oplysninger til fremmede browsere.

CloudFlare

Cloudflare bug lækker personlige HTTPS data

Fejlen blev afdækket af Google forskere, og alt dette synes at have ben forårsaget af at bruge '>' i stedet for '=' i software kildekoden. Da CloudFlare er vært for store virksomheder som OK Cupid, Fitbit, Uber, Digital Ocean og andre.

Nå det også sket med mig, da jeg forsøgte at bestille en kabine på min Uber lokationen, og de viste personlige data var af en anden, viste appen også andre brugeres turhistorier. Lækage er tilsyneladende blevet fyret, når websider med en bestemt kombination vildlede CloudFlare-proxy, og det gjorde, at serverne afgav personlige oplysninger om andre brugere, selvom det var afskærmet af HTTPS.

Størstedelen af ​​data, herunder session- og API-nøgler sammen med cookies og adgangskoder, blev fundet i cachelagrede sider, og det var unødvendigt at sige, at de blev gennemgået af Google. Det er overflødigt at sige, at sessionstasten kan bruges af nogen til at logge ind som dig. Travis Ormandy, en Bug Hunter hos Googles Project Zero-team, opdagede fejlen, da han arbejdede på et sideprojekt. Efter at have deltaget i det samme, fandt han de lækkede data for at være så dårlige, at han til sidst besluttede at annullere sin weekend og i stedet bygge et værktøj til at rydde op i rodet.

"Jeg har informeret Cloudflare, hvad jeg arbejder på. Jeg finder private beskeder fra store dating sites, fulde beskeder fra en velkendt chat service, online adgangskode manager data, rammer fra voksne video sites, hotel reservationer. Vi taler komplette https-forespørgsler, klientens IP-adresser, fulde svar, cookies, adgangskoder, nøgler, data, alt-Travis Ormandy. "

Hvordan det hele skete

Ifølge Travis har Google og CloudFlare sammen dannet et hold og vil rydde op alle private data på internettet. Fortsæt, det er interessant at lære, hvordan denne angreb faktisk fandt sted, og det hele startede, da virksomheden besluttede at udvikle en ny HTML-parser til sine servere. Til trods for at være skrevet på Regel, blev koden omdannet til Machine genereret C. Den ubalancerede HTML udløste et ubalanceret HTML-tag på billederne, og pegekontrollen skulle stoppe dette, men det blev brudt, da en ligestillingsoperatør var blevet brugt.

Cloudfare's teknikchef John Graham-Cumming blev citeret som følger: "Årsagen til fejlen var at nå frem til en buffers ende blev kontrolleret ved hjælp af ligestillingsoperatøren, og en peger var i stand til at træde forbi bufferens ende" udledes at "Hvis tjekket er blevet udført ved hjælp af '> =' i stedet for '== hoppede over bufferens ende ville være blevet fanget.'

Som en sikkerhedsforanstaltning opfordres brugerne til at ændre deres adgangskoder på alle de berørte websteder og også sikre, at du gør det samme på adgangskode ledere. Det Github link viser en skrabet liste over top 10,000-websteder fra Alexa, der er blevet påvirket af denne fejl, og måske kan du lave en "Ctrl + F" og tjekke de websteder, du regelmæssigt bruger og ændre legitimationsoplysningerne. Måske vil du straks ændre dine adgangskoder til dine online hjemmesider.

Kilde

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.