В одной из крупнейших сетей доставки контента CloudFlare выявлена уязвимость, ставшая причиной утечки конфиденциальных данных, включая пароли, сессионные файлы cookie и токены, фигурирующие при обработке запросов других сайтов.
Проблема, обнаруженная специалистом по безопасности Google Project ZeroТэвисом Орманди (Tavis Ormandy), получила кодовое название Cloudbleed по аналогии с нашумевшей уязвимостью Heartbleed.
Сервис CloudFlare выполняет роль посредника между сайтом и пользователем, который одновременно защищает серверы клиентов (т.е. того или иного сайта или сервиса) и оптимизирует работу сайтов для обычного пользователя. По имеющимся данным, услугами сервиса пользуются порядка 5 млн различных ресурсов, в том числе Uber, сайт знакомств OKCupid, сервис хранения паролей 1Password, российский сайт с объявлениями «Авито» и др.
Утечки происходили с сентября 2016 года по февраль 2017 года - то есть в течение более пяти месяцев в открытый доступ попадали случайные порции конфиденциальных данных, включая личную информацию пользователей сайтов крупнейших компаний. Как поясняется в сообщении CloudFlare, утекшие данные сохранялись в кэше поисковых систем и могли быть выявлены злоумышленниками через отправку типовых поисковых запросов.
Пик утечки пришелся на 13-18 февраля 2017 года. В этот период утечка данных происходила примерно один раз на 3,3 млн HTTP-запросов (примерно 0,00003% запросов). Причиной утечки стала ошибка в реализации парсера разметки HTML, применяемого для разбора и замены содержимого страниц. Парсер был написан с использованием компилятора Ragel и содержал ошибку в условии проверки конца буфера.
Несмотря на то, что уязвимость существовала почти полгода, случаев эксплуатации проблемы не выявлено. На портале GitHub уже опубликован список сайтов, которые могли быть подвержены утечке данных.
.jpg)
