2017. február 27. 09:13, Hétfő
Az információk több hónapon át elérhetők voltak.
Az eset hátterében egy súlyos adatkiszivárgási hiba
állt, amelynek köszönhetően a szolgáltató több millió ügyfelének jelszavai, szállodai szobafoglalásai és partnerkereső oldalakon elhangzott chatbeszélgetései váltak hozzáférhetővé, pedig a Cloudflare egyik fő feladata pont az lenne, hogy biztonságosabbá tegye a világhálót.
A cég világszerte több mint ötmillió honlapot tárol, így a sebezhetőség érintette többek között az Uber, a Fitbit, az 1Password és az OKCupid partnerkereső portál ügyfeleit. A Cloudflare szolgáltatásai közé tartozik, hogy http:// formátumú hivatkozásokat titkosított https:// formátumúra alakít át. Ezenkívül a vállalat védelmet kínál a DDoS-támadásokkal szemben, amelyek segítségével oldalakat lehet megbénítani. Amint utólag kiderült, a hiba a szerverszoftverben volt és az vezetett ahhoz, hogy a Cloudflare által gondozott oldalak más honlapok memóriatartalmát is elküldték az adott portáloknak. Ezen adatok között voltak személyes információk, például sütifájlok és azonosításhoz szükséges adatok is. Ugyanakkor egyelőre semmi jel nem mutat arra, hogy bárki is kihasználta volna a sebezhetőséget.
A biztonsági hiba a Google egyik biztonsági szakértőjének
tűnt fel, aki többek között nyilvánosan hozzáférhető jelszavakra, partnerkereső portálokon lévő üzenetekre és szállodai szobafoglalásokra lett figyelmes, majd azonnal értesítette a Cloudflare-t. A társaság végül az egyik szolgáltatásában találta meg a hibát. A sebezhetőség elvileg már tavaly szeptember óta kihasználható volt. Különösen sok adat szivároghatott ki február 13. és 18. között. A hibát néhány órával az ismertté válása után befoltozták, ehhez a Cloudflare együttműködött a különböző keresők üzemeltetőivel.
Informatika és tudomány