В конце прошлой недели специалист Google Project Zero Тевис Орманди (Tavis Ormandy) обнаружил ошибку в коде популярного сервиса CloudFlare, которым пользуются миллионы сайтов по всему миру. Из-за бага CloudFlare постоянно сливал случайные куски данных на сторону. Среди этих данных были токены аутентификации, API ключи, куки, пароли и так далее. Хуже того, все это оседало в кеше поисковых систем, так что специалисты Google не только помогли CloudFlare устранить проблему, но и были вынуждены вычищать конфиденциальные данные из кеша своих серверов.
Независимый исследователь Гектор Мартин (Hector Martin), также известный под псевдонимом marcan, обнаружил, что пока последствия проблемы CloudBleed устранены не полностью. ИБ-специалист пишет в Twitter: «Вы по-прежнему можете найти рендомные аутентификационные куки для сайтов, пострадавших от CloudBleed, использовав простой Google-поиск... и они работают. Страшно».
You can still find random authentication cookies for sites affected by #CloudBleed with a simple Google search... and they work. Scary.
— Hector Martin (@marcan42) February 24, 2017
Так, Мартин объясняет, что ему без проблем удалось обнаружить куки для неназванного платежного сервиса, что позволило бы злоумышленнику залогиниться под видом зарегистрированного пользователя. Исследователь уверен, что все сайты, которые могли пострадать, теперь обязаны аннулировать все текущие сессии и предупредить своих пользователей о необходимости сменить пароли.
Тевис Орманди, исходно обнаруживший баг, подтвердил опасения Мартина, ответив на сообщение исследователя. Орманди пишет, что специалисты Google «делают все, что могут, но это огромная операция».
@marcan42 @flameeyes Grr, there may be some stragglers on the long tail, we did the best we could. It was a huge operation. DM example?
— Tavis Ormandy (@taviso) February 24, 2017
А пока специалисты пытаются разобраться с последствиями CloudBleed, пользователям потенциально уязвимых сервисов настоятельно рекомендуют сменить пароли, не дожидаясь уведомлений. В качестве дополнительной меры предосторожности, специалисты советуют разлогиниться и войти повторно на всех устройствах, если сайт не инициирует эту процедуру самостоятельно после смены пароля.
