Cloudflaren tietovuodolla ei vaikutusta asiakkaidemme sivustoihin

2017-02-24T19:32:50+00:00

Tänään 24.2.2017 klo 14.04 saimme sähköpostiviestin Matthew Princeltä, Cloudflaren CEO:lta, koskien Cloudflaressa olleen bugin aiheuttamaa mahdollista tietovuotoa. Ylläpitämiämme verkkosivustoja ei olla käytetty hyväksi, eikä tietoja löydy hakukoneista.  

Välimuisti- ja kuormantasauspalveluistaan tunnetulla Cloudflarella on miljoonia nettisivustoja asiakkainaan ja myös kaikki verkkosivustomme käyttävät Cloudflaren palveluita sivustojen nopeutukseen & turvaamiseen ulkopuolisilta hyökkäyksiltä. Viimeisen kuukauden aikana Cloudflare on estänyt 920 käyttäjää asiakkaidemme verkkosivuilta (hakkereita, botteja & roskapostittajia) ja jakanut sisältöä toimien nopeasti ja luotettavasti yli 140 000 kävijälle kuukausittain. Cloudflarea käyttää yli 4 miljoonaa verkkosivua kansainvälisesti, joista suurimpina miljoonien ihmisten käyttämät Uber, DigitalOcean, Zendesk, TransferWise, Upwork.com & Fiverr.com.

Löydetty bugi on voinut paljastaa lähetettyjä tietoja hakukoneille huonosti ohjelmoidun osan vuoksi, jolloin tiettyjä asetuksia käytettäessä bugi on voinut näyttää sivun sisältöjä väärille käyttäjille. Tietovuoto koskee vain noin 0.00003% Cloudflaren kokonaisuudessaan käsittelemästä liikenteestä. Githubiin koottu lista sisältää kaikki Cloudflarea käyttävät sivustot, muttei huomioi sitä että bugi ilmenee vain käytettäessä tiettyjä asetuksia. Varmistettuja tietovuodon sisältäviä sivustoja Cloudflaren mukaan on noin 150 verkkotunnusta, joista jokaiseen he ovat ottaneet yhteyttä sähköpostitse. Bugi ilmeni vain jos käytössä oli ”Email Obfuscation” tai ”Automatic HTTPS Rewrites” / ”Server Side Excludes”-käytössä.

Haavoittuvuudesta ilmoitti Googlen työntekijä 18.02.2017 ja se korjattiin muutamien tuntien sisällä tiedon saamisesta. Cloudflare on toiminut yhteistyössä Googlen ja muiden hakukoneiden kanssa poistaakseen kaikki mahdolliset tietovuodot niiden välimuisteista pysyvästi. Medialle tietovuodosta kerrottiin korjausten jälkeen, joten sivustoja ei Cloudflaren tietojen mukaan olla käytetty hyväksi haitallisiin tarkoituksiin.

”Fortunately, your customers’ domains have not been discovered to expose data in any third party caches. The bug has been patched so it is no longer leaking data. However, we continue to work with these caches to review their records and help them purge any exposed data we find. If we discover any data leaked about your customers’ domains during this search, we will reach out to you and your customer directly and provide full details of what we have found.” – Matthew Prince, Cloudflaren CEO

Sivustot, jotka ovat altistuneet tietovuodolle varmuudella (linkki), joissa käyttäjiä suositellaan vaihtamaan salasana:

  • Uber
  • Trakt.tv
  • Meetup.com
  • Addthis.com
  • Fitbit.com

Cloudflare on ottanut yhteyttä varmuudella tietovuotoa koskevien 150:n verkkosivuston ylläpitäjiin. Ylläpitämiämme verkkosivustoja ei olla käytetty hyväksi, eikä tietoja löydy hakukoneista.  

Lisää tietoa haavoittuvuudesta Cloudflaren blogissa (englanniksi)