Уязвимость Cloudbleed: страшно, но пока не очень

В конце минувшей недели ведущий исследователь Google's Project Zero Тавис Орманди сообщил об опасной уязвимости сервиса Cloudflare. Cloudflare является одной из ведущих сетей доставки контента, а также оказывает услуги по обеспечению безопасности и оптимизации работы веб-ресурсов своих клиентов. Орманди установил, что в результате ошибки ПО Cloudflare происходит утечка персональных данных посетителей сайтов, использующих сервис. Более того, часть этих данных, включая имена учетных записей, пароли, личные сообщения и другую конфиденциальную информацию, сохраняется в кэше ведущих поисковых систем, включая Google и Bing, и легко может быть получена киберпреступниками.

Тавис Орманди назвал уязвимость Cloudbleed (по аналогии с опаснейшей уязвимостью Heartbleed, обнаруженной в 2014 году и поставившей под угрозу данные пользователей более полумиллиона вебсайтов) и уведомил о находке специалистов Cloudflare. Те отреагировали максимально оперативно: уязвимость была блокирована уже через 44 минуты и полностью ликвидирована через 7 часов. В настоящий момент известно, что уязвимость существовала с сентября минувшего года и затронула не менее 3400 вебсайтов, использующих сервис Cloudflare. В их числе такие ресурсы как Uber, популярнейший сервис знакомств OKCupid и менеджер паролей 1Password. Впрочем, пока нет никаких свидетельств того, что данные, ставшие доступными в результате утечки, использовались злоумышленниками.

Подробную информацию об этой уязвимости можно найти на сайте «Нетоскоп».