1. Főoldal
  2. Cikkek
  3. Hírek
  4. Súlyos biztonsági hibát találtak a több mint ötmillió honlap által használt Cloudflare-ban

Súlyos biztonsági hibát találtak a több mint ötmillió honlap által használt Cloudflare-ban

Hírek

Még el sem kezdődött igazán az év, de már meglehet az év egyik legnagyobb sebezhetősége: A Cloudflare hibája miatt véletlenszerűen kaphatták meg egyes oldalak más oldalak tartalmait is.

Bár az internetező közönség nagy eséllyel még nem hallotta a cég nevét, de nagy eséllyel már - a tudtán kívül is - találkozott már a Cloudflare szolgáltatásaival: Ez a szolgáltatás ugyanis a weboldalak üzemeltetői számára jelentenek megoldást, mivel beállítása esetén a forgalom a Cloudflare szerverein halad át, és ezek a szerverek szolgálják ki felhő alapon az oldalhoz kapcsolódó statikus fájlokat - így a weboldal tényleges szerverére sokkal kevesebb forgalom fog érkezni. Ráadásul a Cloudflare támadások ellen is védelmet nyújt. A szoláltatás nagyságát bizonyítja, hogy olyan cégek használják, mint az Uber, a Fitbit, az 1Password, az OKCupid, a Discord, illetve több kisebb-nagyobb weboldal - köztük magyar oldalak is. 

Ezen oldalak adatai keveredhettek egy memória kezelési hiba miatt: HTTP header-ek, POST adatok darabjai (amik a felhasználó által kitöltött űrlapadatokat tartalmazhatják), JSON adatok API hívásokból, URI paraméterek, sütik és egyéb, sok esetben bizalmasnak számító adat érhetett rossz helyen (is) célba. 

A hibát a Google egyik biztonsági szakembere vette észre, és jelentette a Cloudflare számára, aki azt 24 órán belül javította. Ugyanakkor a hiba az információk szerint tavaly szeptember óta lehetett a rendszerben, bár annak kihasználásáról nincsenek információk. A hiba a hivatalos közlés szerint nem érintette az összes, a cég szolgáltatását használó weboldalt, de a nagyjából fél évig meglévő hiba következtében így is több millió felhasználó jelszava, szállodai szobafoglalások és partnerkereső oldalakon elhangzott chatbeszélgetések kerülhettek hozzáférhetővé.

A hiba ugyanakkor még mindig veszélyes lehet, ugyanis a keresőbotok - köztük a Google is - több, így kiszivárgott adatot tárolhat jelenleg még mindig a rendszerében.

vmarci21 profilképe
Veszter Márton @vmarci21 +540 Weblap fejlesztő, az IntoMedia tagja. PHP, JavaScript és MySql témák mellett érdekli a Windows, Linux disztribúciók, Android fejlődése, az IT biztonság, és az újdonságokat felmutató IT termékek.
0 hozzászólás
Hozzászóláshoz jelentkezz be vagy Regisztrálj!