Logo bg.androidermagazine.com
Logo bg.androidermagazine.com
» Новини
Новини

Cloudbleed: какво трябва да знаете и какво трябва да направите

Cloudbleed: какво трябва да знаете и какво трябва да направите

Съдържание:

Anonim

На 17 февруари 2017 г. изследовател на уязвимостта от Project Zero Tavis Ormandy на Google се натъкна на това, което изглеждаше като наистина гадно изтичане на данни от Cloudflare, компания за уеб производителност и сигурност. Той бързо се свърза с "правилните" хора в Cloudflare и ситуацията беше решена за по-малко от час.

Всяко нарушение на данните може да бъде значително. Особено когато една услуга има над един милиард потребители. Ще ви насочим към отчета за инцидентите в Cloudflare за пълните подробности за случилото се (предупреждение: това е доста технически). По думите на непрофесионалистите, са изтекли данни, които са потенциално чувствителни. Тези данни бяха достъпни за всеки, дори уеб паяци, използвани от търсачките. SSL ключовете не са изтекли.

Функциите на Cloudflare, които използваха засегнатия HTML анализатор (обфуксация на имейли, изключване от страна на сървъра и автоматично пренаписване на HTTPS), бяха използвани от много компании. Най-вероятно компании, с които имате онлайн акаунти, Това означава, че вашите данни може да са били изложени.

Mobile Nations използва някои от услугите на Cloudflare. Всъщност ще ни намерите в списъка, плаващ около потенциално засегнати сайтове. Ние проверихме, че засегнатите услуги не се използват, нито някога са били използвани на сайтове на Mobile Nations.

След разследване, функциите зад #Cloudbleed (E-mail Obfuscation, SSE, HTTPS Rewrites) никога не са били активни на сайтове на @MobileNations

- Маркъс Адолфсон (@madolfsson) 24 февруари 2017 г.

Също така получихме известие от Cloudflare за теча и те трябваше да кажат това:

Вашият домейн не е един от домейните, в които открихме открити данни във всякакви кеши на трети страни. Бъбът е кръпка, така че вече не изтича данни. Въпреки това, ние продължаваме да работим с тези кешове, за да преглеждаме техните записи и да им помагаме да изчистят всички открити данни, които открием. Ако открием данни за вашите домейни по време на това търсене, ще се свържем директно с вас и ще ви предоставим пълни подробности за това, което сме открили.

Потърсете подобно изявление от други места, с които имате акаунт, за информация относно вашите данни, които може да са били изложени.

Какво трябва да направя

Подобно на повечето големи случаи на сигурност, никога няма да разберем пълните подробности за това какво е било и не е изтекло. Можем да потвърдим, че не използваме услугите, споменати като уязвими, но не знаем как може да се повлияе нещо друго на сървърите на Cloudflare. Всеки клиент на Cloudflare е в една и съща лодка.

Това означава, че е време да станете активни.

Променете паролата за всичките си онлайн акаунти

Да, това е гадно, но знаете какво гадно повече? Като някой получи вашите данни и има достъп до неща, до които не искате да имат достъп. Използвайте мениджъра на пароли и го оставете да прави луди пароли и ги запомнете за вас, ако нямате своя собствена рутина за управление на паролите. Ако не сте използвали мениджър на пароли в миналото, но сте искали да проверите такава, сега е перфектен момент.

Още: Най-добри мениджъри на пароли за Android

Сега също е подходящо време да запомните, че трябва редовно да променяте паролите си, което прави мениджъра на паролите задължително, ако имате много акаунти.

Активирайте двуфакторна автентификация за всеки акаунт, който разполага като опция

Ако имате активирана двуфакторна автентификация, някой друг с вашите данни за вход все още няма да има достъп до вашия акаунт. Двуфакторното удостоверяване също може да бъде болка в дупето понякога, но това е най-добрият начин да се защитите, когато се случи нарушение на големи данни, като това, което виждаме сега.

Ето някои ресурси за двуфакторно удостоверяване.

  • Какво трябва да знаете за двуфакторното удостоверяване
  • Как да настроите двуфакторно удостоверяване в профила си в Google
  • Добавете USB ключ за сигурност към профила си в Google
  • Безжичните ключове за сигурност вече работят на Android
  • Изтеглете Google Удостоверител
  • Списък на уебсайтове и дали поддържат или не 2FA.

Нищо, което можем да направим, няма да попречи на тези видове течове на данни. Важното е какво можем да направим, за да се защитим, когато те се случват,

Новини

Избор на редакторите