Cloudbleed ir jaunākā interneta kļūda, kas apdraud lietotāju privāto informāciju. Ceturtdienā ziņas par bugu lauza vēlu, taču jau ir daudz neskaidrību par to un faktisko ietekmi uz cilvēku informāciju.

Mēs to apkopojām kā ceļvedi Cloudbleed un kā jums vajadzētu atbildēt. Notiek jaunumi par Cloudbleed, un mēs atjaunināsim šo rakstu, kad radīsies jaunas problēmas. Pārbaudiet jaunu informāciju.

Kas ir Cloudbleed?

Cloudbleed ir interneta drošības uzņēmuma Cloudflare galvenais drošības pārkāpuma nosaukums, kas sešu mēnešu laikā noplūda lietotāju paroles un citu potenciāli jutīgu informāciju tūkstošiem tīmekļa vietņu. Reģistrs to apraksta kā "sēžot restorānā, domājams tīrā galdā, un papildus tam, ka tiek nodota ēdienkarte, jūs arī nododat iepriekšējā ēdnīcas maku vai maku saturu."

Nosaukums nāk no Tavis Ormandy no Google projekta Zero, kurš ziņoja par kļūdu Cloudflare un jokoja par to, ka to sauc par Cloudbleed pēc 2014. gada drošības kļūdas Heartbleed.

Vai Cloudbleed ir sliktāks par Heartbleed?

Šajā brīdī nē. Tikpat biedējoši kā jebkurš interneta drošības pārkāpums, tie bija diezgan atšķirīgi. Heartbleed ietekmēja pusmiljonu tīmekļa vietņu, savukārt šajā laikā tikai 3 400 tīmekļa vietnēm ir bijusi Cloudbleed bug.

Bet šeit ir potenciāli biedējoša daļa. Šie 3400 tīmekļa vietnes noplūda privātos datus, kas nāk no citiem Cloudflare klientiem. Tātad faktiski ietekmēto tīmekļa vietņu faktiskais skaits varētu būt daudz lielāks.

Vai Cloudbleed joprojām ir bīstami?

Nē. Domājiet par Cloudbleed kā persona, kas pārdzīvo sirdslēkmi. Tas ir biedējoši, un tas prasīs izmaiņas, lai novērstu to atkārtošanos. Bet vissliktākais no tā ir beidzies.

Ja šis stāsts ir augšupvērsts, tas ir tas, ka Cloudflare 44 minūšu laikā apturēja kļūdu un 7 stundu laikā pilnībā atrisināja problēmu.

Tomēr tiek uzskatīts, ka šī kļūda ir ietekmējusi tīmekļa vietnes, kas norisinājās jau septembrī ar pārkāpuma augstumu, kas notika laikā no 13. līdz 18. februārim. Tātad, ja uzņēmumi uzzinās par kļūdu un to klientu informācija bija iesaistīts.

Kas ir Cloudflare?

Cloudflare nodrošina būtisku interneta infrastruktūru un drošību miljoniem tīmekļa vietņu. Savā tīmekļa vietnē Cloudflare ir iekļauti Nadaq, Bain Capital, OKCupid, ZenDesk un Cisco sadaļā savā sadaļā "Uzticamie".

Pat ja jūs, iespējams, neesat iepazinies ar nosaukumu Cloudflare, iespēja, ka tīmekļa vietne ir apmeklējusi, izmanto uzņēmumu drošības vai informācijas sniegšanas nolūkos.

Kādas tīmekļa vietnes tika ietekmētas?

Šajā brīdī mēs zinām, ka Uber, Fitbit un OKCupid bija trīs tieši ietekmēti, bet tur ir tūkstošiem vairāk.

Atbildot uz ziņām par noplūdi, uzņēmumi ir veikuši čivināt, lai atzītu kļūdu un pārliecinātu savus klientus.

Cik daudz cilvēku ir pakļauti Cloudbleed dēļ?

Ir grūti pateikt, bet tas ir zems. Kā jau minēju iepriekš, „Cloudbleed bug” maksimums bija no 13. līdz 18. februārim. Savā tīmekļa vietnē publicētajā ziņojumā Cloudflare teikts, ka šajā laikā aptuveni 1 no katriem 3 300 000 HTTP pieprasījumiem, izmantojot Cloudflare, potenciāli izraisīja atmiņas noplūdi. Šī statistika tika precizēta kā aptuveni 0, 00003 procenti no pieprasījumiem.

Kāda veida informācija ir noplūdusi?

Aplūkojot tīmekļa vietnes adresi, kurā atrodaties, dažreiz sākumā redzat "http". Bet, atrodoties drošā tīmekļa vietnē, piemēram, bankā vai paroles pieteikšanās ekrānā, sākumā redzēsiet https, kas norāda, ka lapa ir droša.

Pakalpojumi, piemēram, Cloudflare, palīdz droši pārvietot šajās "https" tīmekļa vietnēs ievadīto informāciju starp lietotājiem un serveriem. Tas, kas šeit notika, ir daļa no šīs drošās informācijas negaidīti saglabātas, kad tā nebūtu bijusi. Un vēl ļaunāk, daži no saglabātajiem drošajiem datiem tika saglabāti tādās meklētājprogrammās kā Google, Bing un Yahoo.

Tātad tas varēja būt lietotājvārds vai parole, video fotoattēls vai rāmji, kā arī aizkulises, piemēram, servera informācijas un drošības protokoli. Šobrīd nav nekādu norāžu, ka kāda no šīm ziņām būtu pieejama hackeriem.

Ko man darīt?

Lai būtu godīgi, nekas, ko jūs tagad darāt, neatcels notikušo. Bet ir lietas, ko jūs varat darīt, lai pasargātu sevi no tādām lietām, kas atkal notiek, pirms notiek nākamais Cloudbleed līdzīgais incidents.

Vispirms ir jāmaina paroles jebkuram jūsu kontam, kas izmanto Cloudflare. Fitbit, OKCupid un Medium ir daži, bet jūs varat uzzināt, vai vietnes, kuras izmantojat, izmanto šo rīku, izmantojot Cloudfare.

Un, ja kāda no šīm tīmekļa vietnēm vai pakalpojumiem piedāvā divpakāpju verifikāciju (dažreiz to sauc par divfaktoru verifikāciju), izmantojiet to. Tas nodrošina, ka pat tad, ja kāds saņemtu paroli, viņi nevarēs piekļūt jūsu kontam.

Mēs arī iesakām sazināties ar jūsu izmantoto vietņu un pakalpojumu kompānijām un informēt tās par jūsu drošības un privātuma aizsardzības sajūtām. Kā bažas par Cloudbleed kā daži cilvēki varētu būt, uzņēmumi būs diezgan uztrauc pārāk, un dzirdēt no saviem klientiem var iet tālu, lai uzlabotu lietas ikvienam.

Kas notiek tālāk?

Atkal, informācija par Cloudbleed kļuva publiski pieejama 23. februārī, un tā kā mēs saņemam jaunu informāciju par kļūdu, mēs atjaunināsim šo rakstu.

Tehniskā kultūra: no filmas un televīzijas līdz sociālajiem medijiem un spēlēm, šeit ir jūsu vieta vieglākai tehnoloģiju pusei.

CNET Magazine: Pārbaudiet CNET avīžu kioska izdevumā atrodamo stāstu paraugus.