Apa itu Cloudflare, dan Adakah Ia Benar-benar Leak Data Saya Seluruh Internet?
Sepanjang beberapa bulan yang lalu, pepijat dalam perkhidmatan Cloudflare yang popular mungkin telah mendedahkan data pengguna sensitif-termasuk nama pengguna, kata laluan, dan mesej peribadi-kepada dunia dalam teks biasa. Tetapi berapa besar masalah ini, dan apa yang harus anda lakukan?
Apa itu Cloudflare?
Cloudflare adalah perkhidmatan yang menawarkan ciri keselamatan dan prestasi (antara lain) ke rangkaian laman web yang luas. Ia berfungsi sebagai proksi terbalik, seorang perantara antara anda-pengguna-dan laman web yang diberikan. Apabila anda pergi melawat tapak tersebut, anda akan diarahkan ke salah satu pelayan Cloudflare dan bukannya pelayan tapak sebenar.
Ini membolehkan Cloudflare untuk memastikan anda pengguna yang sah (dengan itu melindungi terhadap penyangkalan serangan perkhidmatan), memuatkan tapak dengan lebih cepat (kerana mereka telah memainkan bahagian tertentu dari laman web ini), dan melindungi daripada downtime (kerana mereka mempunyai banyak pelayan di seluruh dunia dan boleh kembali pada mana-mana pelayan jika ada masalah).
Cloudflare memastikan penyerang DDoS tidak mendapat trafik mereka melalui laman web sebenar.Pendek kata: Cloudflare bertujuan untuk menjadikan laman web lebih pantas dan lebih selamat, dan perkhidmatan ini banyak digunakan oleh laman web.
Apa yang berlaku? (Dan Apa itu "Cloudbleed?")
Malangnya, tidak ada 100% selamat, walaupun tapak menggunakan perkhidmatan seperti Cloudflare, dan pepijat berlaku. Dalam kes ini, Cloudflare sebenarnya disebabkan masalah keselamatan: bug dalam kod proksi terbalik yang menghuraikan HTML menyebabkan server Cloudflare bocor kandungan ingatannya dalam keadaan tertentu. (Sesetengah orang merujuk kepada ini sebagai "Cloudbleed", bermain dari bug Heartbleed yang juga mempengaruhi sebahagian besar internet.)
Data ini mungkin termasuk semua jenis data sensitif, termasuk nama pengguna, kata laluan, mesej peribadi, token OAuth, dan banyak lagi. Lebih teruk lagi, sebahagian daripada data itu diindeks dan di-cache oleh beberapa enjin carian (kira-kira 700 muka surat, menurut Cloudflare), jadi jika anda tahu apa yang hendak dicari di Google, anda boleh mencari data sensitif daripada pengguna yang log masuk pada masa tertentu bocor.
Sekiranya anda tahu apa yang hendak dicari, anda dapat mengetahui beberapa maklumat Cloudflare yang bocor di enjin carian.Bug ini tidak dapat ditemui selama kira-kira lima bulan, dan ditambal selepas ditemui minggu ini. Cloudflare berkata "tempoh impak terbesar adalah dari 13 Februari dan 18 Februari dengan sekitar 1 dalam setiap 3,300,000 permintaan HTTP melalui Cloudflare berpotensi mengakibatkan kebocoran memori (iaitu kira-kira 0.00003% permintaan)."
Tetapi dengan perkhidmatan seperti Cloudflare, 0.00003% masih banyak. Sesetengah orang telah menyusun senarai laman web yang menggunakan Cloudflare, dan ia termasuk lebih dari 4 juta domain-termasuk Yelp, OkCupid, Uber, Authy, Medium, dan banyak lagi. (Sesetengah aplikasi mudah alih juga terpengaruh.)
Anda boleh membaca lebih lanjut tentang butiran teknikal bug ini di blog Cloudflare, walaupun mungkin hanya menarik minat anda jika anda seorang pemrogram-jika anda seorang pengguna internet biasa, satu-satunya perkara yang perlu anda ketahui ialah ...
Apa patut saya buat?
Pertama: jangan panik terlalu banyak. Tidak setiap tapak pada senarai 4 juta itu semestinya membocorkan maklumat sensitif-jika tapak hanya menggunakan Cloudflare untuk data imej cache, sebagai contoh, tidak akan ada maklumat sensitif untuk bocor. Dan ia tidak seperti kebocoran masing-masing adalah senarai induk kata laluan pula-ia adalah maklumat rawak, yang mana boleh telah memasukkan beberapa nama pengguna rawak dan kata laluan pada bila-bila masa.
Walau bagaimanapun, Cloudflare juga menyatakan bahawa salah satu kunci peribadi mereka telah dibocorkan, yang akan memberikan akses penyerang kepada banyak data Cloudflare dalaman-termasuk, berpotensi, nama pengguna dan kata laluan. Cloudflare sangat samar-samar mengenai titik tertentu ini, walaupun ia menjadi risiko keselamatan utama dengan potensi untuk membocorkan maklumat yang lebih sensitif
Apa yang dikatakan, tidak ada cara yang nyata untuk mengetahui sama ada mana-mana data anda telah bocor dan di mana, jadi satu-satunya tindakan yang selamat sekarang ialah ubah semua kata laluan anda. (Sudah tentu, anda boleh melihat senarai 4 juta laman web dan hanya menukar yang digunakan oleh Cloudflare, tetapi dengan jujur, mungkin lebih mudah dan cepat untuk mengubah semuanya.)
Peraturan yang biasa dengan kata laluan dikenakan di sini: jangan gunakan kata laluan yang sama di beberapa laman web, gunakan pengurus kata laluan seperti LastPass, dan menghidupkan pengesahan dua faktor untuk setiap laman web yang membolehkannya. Jika anda tidak melakukan perkara-perkara ini, bug Cloudflare mungkin sekurang-kurangnya kebimbangan anda-selepas semua, tapak akan digodam sepanjang masa, dan jika anda menggunakan kata laluan yang sama di mana-mana, semua data anda tetap berisiko.
Jika anda sudah menggunakan pengurus kata laluan, proses ini haruslah mudah (jika agak lama dan membosankan). Tetapi anda harus digunakan untuk tarian ini sekarang.