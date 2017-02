A Cloudbleed tömegesen rakhatott ki weblapokra ezt-azt: jelszavakat, randiadatokat, egészségügyi infókat.

Az utóbbi évek legnagyobb internetes biztonsági katasztrófája fenyegethet, miután kiderült, hogy a világ egyik legnagyobb webes biztonsági cégének apró programozási hibája miatt óriási mennyiségű bizalmas adat – jelszavak, személyes információk, üzenetek – szivárgott ki az internetre.

A biztonsági hiba következményei igen komolynak ígérkeznek, a legnagyobb és legnépszerűbb tech portálok fegyverben vannak, és vezető híreik között tálalják azt a fenyegetést, amelyet a Gizmodo „ijesztően komoly ügynek” nevezett, a CNET pedig „igencsak súlyosnak”.

A Cloudfare cég nevével az egyszeri felhasználók közül eddig kevesen találkoztak, és ennek az az oka, hogy a Cloudflare egyike azoknak a vállalkozásoknak, amelyek nem közvetlenül kerülnek kapcsolatba az internetes felhasználókkal, hanem úgy, hogy szolgáltatásaikat nagyon sok internetes szájt használja. A Cloudflare biztonsági megoldásait sok millió weblap alkalmazza az interneten, egyebek mellett a szájtokat érő támadások kivédésére, a weboldalak gyorsítására vagy a felhasználói élmény javítására.

Az említett hibát először a Google internetes sérülékenységeket vizsgáló kutatója, Tavis Ormandy tárta fel február 17-én, de, ahogy azt a Wired technomagazin internetes portálja is megjegyzi, a hiba miatt tavaly szeptember 22. óta szivároghatnak adatok a Cloudflare szolgáltatását használó szájtokról. (Tavis az előző nagy internetes biztonsági rémálom, a Heartbleed nyomán Cloudbleed-nek nevezte el az új bugot, ami a cég nevében is megtalálható „felhő” és a „vérzés”-t, „szivárgás”-t jelentő „bleed” szóból áll össze.)

A Wired leírása szerint ez azt jelenti, hogy bizonyos esetekben a Cloudflare platformja hatmillió vásárlójának – köztük van az Uber és a világ egyik legnagyobb randiszájtja, az OKCupid, valamint a felhasználóinak edzésadatait szerverein tároló, okosóragyártó FitBit is – adataiból véletlenszerűen beillesztett ezt-azt más üzletfeleinek webszájtjaira. „A gyakorlatban ez azt jelenti például, hogy az ön által igénybe vett Uber-fuvar adatai vagy még Uber-jelszava is egy másik internetes szájt (nyilvánosan elérhető, de a felhasználók számára többnyire rejtve maradó) adatai között végezhette” – írja a Wired.

Az esetek többségében ezek az adatok nem jelentek meg nagy forgalmú szátjtokon, ám a nagy keresőmotorok indexelhették vagy cache-elhették ezeket a tartalmakat, azaz például a Google keresőtalálatai között is előbukkanhatnak.

Ijesztően hangzik, de a Cloudflare ügyfelei között van az amerikai elektronikus tőzsde, a Nadaq is.

A CNET portál ugyanakkor sietett leszögezni, hogy míg a Heartbleed bug félmillió webszájtot érinthetett, a CloudBleed következményei eddig nem tűnnek ennyire súlyosnak: 3400 webszájt lehet azon a listán, ahol adatszivárgás fordult elő. Gond azonban, hogy ez a szám csak azokat a weblapokat tartalmazza, ahol a többi Cloudflare-ügyfél adatai megjelenhettek, tehát valójában az érintett szájtok – amelyek adatai ezeken a webszájtokon megjelenhettek – száma ennél sokkal nagyobb.

Az egyelőre nem világos, hogy a rosszindulatú hackerek kihasználták-e a súlyos biztonsági rést, mindenesetre a szakértők azt sürgetik, hogy mindenki kezdje el szépen megváltoztatni jelszavait, mert egyelőre megjósolhatatlan, mekkora problémába ütközött bele Tavis Ormandy. Tehát azt minden technológiai hírportál és szakértő is hangsúlyozza: nem lehet megomondani, hogy az adatok lenyúlása valóban megtörtént-e. A lehetőség erre azonban bizonyos esetekben nyitva állt.

Ryan Lackey biztonsági szakértő, aki korábban a Cloudflare által felvásárolt CryptoSeal alkalmazásában állt, blog posztjában azt írja: A Cloudflare ott van a legnagyobb fogyasztói webszolgáltatások mögött (Uber, Fitbit, OKCupid...), így ahelyett, hogy megpróbálnánk azonosítani, milyen szolgáltatások használják a Cloudflare-t, valószínűleg a legkörültekintőbb, ha ezt az alkalmat arra használjuk fel, hogy minden általunk használt webszájt MINDEN jelszavát megváltoztatjuk.

A Cloudflare javára legyen mondva, azonnal lépett az ügyben, és válságstábot állított fel, amely igen hamar orvosolta a problémát. Vagyis az adatszivárgás azóta megszűnt. A cég nyilvános blogposztjában dicséretesen nyíltan ír a probléma lényegéről, valamint azt is állítja, hogy a Google által esetleg cache-elt adatokat a keresőóriással alakított közös munkacsoport azóta törölte.

A biztonsági megoldások mellett amúgy a Cloudflare speciális webhosting szolgáltatást is nyújt, amely például a valódi szolgáltató elrejtését is lehetővé teszi felhasználói számára. A magyar sajtóban korábban a kuruc.info kapcsán került elő leginkább a cég neve, amikor is az Átlátszó.hu portál így fogalmazta meg a cég efféle szolgáltatásainak lényegét:

