Hlavní navigace

Službě Cloudflare z paměti utíkala soukromá data

Roman Bořánek

Služba Cloudflare, která poskytuje optimalizaci a zabezpečení řadě webových stránek, obsahovala závažnou chybu. Chyba v zásadě způsobovala to, že Cloudflare k odpovědím na HTTPS požadavky omylem přibalila i část paměti, kterou protistrana neměla obdržet, a to v čitelné podobě. Je tedy možné, že vaše soukromá data distribuovaná přes Cloudflare obdržel i někdo jiný.

Problém prý vznikl v září minulého roku, ale výrazněji se začal projevovat až v polovině února. 18. února na něj upozornili výzkumníci z Project Zero (Google). Závažnost chyby trochu snižuje fakt, že ani při znalosti mezery by zřejmě nebylo možné cílit na data konkrétního uživatele. Úniky navíc obsahoval pouze malý zlomek odpovědí, v kritické době pouze cca jedna z více než tří miliónů.

Trochu větší problém představuje fakt, že některé stránky s uniklými informacemi nakešovaly vyhledávače. Cloudflare však největší vyhledávače požádala o spolupráci a ještě před zveřejněním byly jednotlivé stránky ručně vyčištěny. Celkem šlo o 770 případů. Podle Cloudflare klienti nic řešit nemusí, ale někteří z nich po svých uživatelích začali vyžadovat resetování hesel.

(Zdroj: Security Affairs)

Našli jste v článku chybu?